Abo
  • Services:

Security: Vier ungepatchte Lücken im Internet Explorer

Die HP-Tochter Tipping Point hat Informationen zu vier Lücken im Internet Explorer für Windows Phone veröffentlicht. Microsoft weiß seit vier Monaten davon, Patches stehen aber noch aus.

Artikel veröffentlicht am ,
Tipping Point hat vier Schwachstellen im Internet Explorer für Windows Phone öffentlich gemacht.
Tipping Point hat vier Schwachstellen im Internet Explorer für Windows Phone öffentlich gemacht. (Bild: Screenshot Golem.de)

Gleich vier Lücken im Internet Explorer für Windows Phone haben die Experten bei Tipping Point veröffentlicht. Die HP-Tochter hatte Microsoft bereits vor vier Monaten über die Schwachstellen informiert. Microsoft bat um diese Frist, um die Schwachstellen zu schließen. Bis jetzt wurden die Lücken nicht geschlossen, deshalb entschied sich Tipping Point, die Informationen darüber zu veröffentlichen.

Stellenmarkt
  1. PDV-Systeme GmbH, Dachau
  2. TUI AG, Hannover

Alle drei entdeckte Tipping Point im Internet Explorer für Windows Phone. Diese Schwachstelle lässt sich allerdings nur ausnutzen, wenn der Nutzer explizit einen E-Mail-Link oder eine Instant-Messenger-Nachricht anklickt. Anwender sollten darauf achten, dass Active Scripting in den Sicherheitseinstellungen nur nach einer Benutzereingabe ausgeführt werden darf. Diese Schwachstelle wurde während des Hacking-Wettbewerbs Mobile Pwn2Own vom Vupen-Mitarbeiter Nicolas Joly entdeckt. Er konnte damals aber nicht die Sandbox von Microsofts Browser überwinden.

Die drei weiteren Schwachstellen benötigen ebenfalls eine Benutzereingabe, damit der jeweilige Exploit ausgenutzt werden kann. Auch hier gilt, die Sicherheitseinstellungen für Active Scripting so zu setzen, dass eine Interaktion des Anwenders benötigt wird. Bei allen Lücken handelt es sich um sogenannte Use-After-Free-Schwachstellen, die sich jeweils über die Objekte CtreePos, CCurrentStyle und CattrArray ausnutzen lassen. Auch sie funktionieren nur im Kontext des laufenden Prozesses. Es müsste also eine weitere Schwachstelle im Betriebssystem bestehen, um das System selbst anzugreifen.

Nachtrag vom 25. Juli 2015, 15:45 Uhr

In der ursprünglichen Meldung stand, dass ein Teil der genannten Lücken den Internet Explorer in der Desktop-Version betreffen. Dem ist nicht so. Gemeint ist ausschließlich Microsofts Browser in der mobilen Variante. Der Text wurde entsprechend geändert. Wir bitten, dies zu entschuldigen.



Anzeige
Top-Angebote
  1. 69,95€ mit Vorbesteller-Preisgarantie
  2. (-68%) 8,99€
  3. 69,99€

daazrael 26. Jul 2015

Eigentlich nicht, bin wohl nur gerne ausführlich. ;) Jepp, da stimme ich dir in beiden...

john4344 26. Jul 2015

Merkt man schon an dem (sinnlosen und fachlich unkorrektem) Inhalt. Hat er nicht. Reines...

garack 26. Jul 2015

Wie soll man das denn ausschalten. Das geht nicht. Irgendwas stimmt mit dem Artikel nicht.

hmuellers 25. Jul 2015

Text wrde zu schnell getippt.

Atalanttore 25. Jul 2015

Und Microsoft darf sie auch nach 4 Monaten noch nicht schließen.


Folgen Sie uns
       


Nach E-Fail, was tun ohne sichere E-Mails - Livestream

Die E-Fail genannte Sicherheitslücke betrifft die standardisierten E-Mail-Verschlüsselungsverfahren OpenPGP und S/MIME. Im Livestream diskutieren wir den technischen Hintergrund der zuletzt aufgedeckten Lücken und besprechen, was Nutzer nun tun können, wenn sie ihre Nachrichten weiter sicher verschicken wollen.

Nach E-Fail, was tun ohne sichere E-Mails - Livestream Video aufrufen
Noctua NF-A12x25 im Test: Spaltlos lautlos
Noctua NF-A12x25 im Test
Spaltlos lautlos

Der NF-A12x25 ist ein 120-mm-Lüfter von Noctua, der zwischen Impeller und Rahmen gerade mal einen halben Millimeter Abstand hat. Er ist überraschend leise - und das, obwohl er gut kühlt.
Ein Test von Marc Sauter

  1. NF-A12x25 Noctua veröffentlicht fast spaltlosen 120-mm-Lüfter
  2. Lüfter Noctua kann auch in Schwarz
  3. NH-L9a-AM4 und NH-L12S Noctua bringt Mini-ITX-Kühler für Ryzen

Kailh KS-Switch im Test: Die bessere Alternative zu Cherrys MX Blue
Kailh KS-Switch im Test
Die bessere Alternative zu Cherrys MX Blue

Der chinesische Hersteller Kailh fertigt seit fast 30 Jahren verschiedenste Arten von Schaltern, unter anderem auch Klone von Cherry-MX-Switches für Tastaturen. Der KS-Switch mit goldenem Stempel und markantem Klick ist dabei die bessere Alternative zu Cherrys eigenem MX Blue, wie unser Test zeigt.
Ein Test von Tobias Költzsch

  1. Apple-Patent Krümel sollen Macbook-Tastatur nicht mehr stören
  2. Tastaturen Matias bringt Alternative zum Apple Wired Keyboard
  3. Rubberdome-Tastaturen im Test Das Gummi ist nicht dein Feind

Highend-PC-Streaming: Man kann sogar die Grafikkarte deaktivieren
Highend-PC-Streaming
Man kann sogar die Grafikkarte deaktivieren

Geforce GTX 1080, 12 GByte RAM und ein Xeon-Prozessor: Ab 30 Euro im Monat bietet ein Startup einen vollwertigen Windows-10-Rechner im Stream. Der Zugriff auf Daten, Anwendungen und Games soll auch unterwegs mit dem Smartphone funktionieren.
Von Peter Steinlechner

  1. Golem.de-Livestream Halbgott oder Despot?
  2. Rundfunk Medienanstalten wollen Bild Livestreaming-Formate untersagen
  3. Illegale Kopien Deutsche Nutzer pfeifen weiter auf das Urheberrecht

    •  /