• IT-Karriere:
  • Services:

Security: Vier ungepatchte Lücken im Internet Explorer

Die HP-Tochter Tipping Point hat Informationen zu vier Lücken im Internet Explorer für Windows Phone veröffentlicht. Microsoft weiß seit vier Monaten davon, Patches stehen aber noch aus.

Artikel veröffentlicht am ,
Tipping Point hat vier Schwachstellen im Internet Explorer für Windows Phone öffentlich gemacht.
Tipping Point hat vier Schwachstellen im Internet Explorer für Windows Phone öffentlich gemacht. (Bild: Screenshot Golem.de)

Gleich vier Lücken im Internet Explorer für Windows Phone haben die Experten bei Tipping Point veröffentlicht. Die HP-Tochter hatte Microsoft bereits vor vier Monaten über die Schwachstellen informiert. Microsoft bat um diese Frist, um die Schwachstellen zu schließen. Bis jetzt wurden die Lücken nicht geschlossen, deshalb entschied sich Tipping Point, die Informationen darüber zu veröffentlichen.

Stellenmarkt
  1. Juice Technology AG, Winkel
  2. Birkenstock GmbH & Co. KG, Neustadt (Wied), Köln

Alle drei entdeckte Tipping Point im Internet Explorer für Windows Phone. Diese Schwachstelle lässt sich allerdings nur ausnutzen, wenn der Nutzer explizit einen E-Mail-Link oder eine Instant-Messenger-Nachricht anklickt. Anwender sollten darauf achten, dass Active Scripting in den Sicherheitseinstellungen nur nach einer Benutzereingabe ausgeführt werden darf. Diese Schwachstelle wurde während des Hacking-Wettbewerbs Mobile Pwn2Own vom Vupen-Mitarbeiter Nicolas Joly entdeckt. Er konnte damals aber nicht die Sandbox von Microsofts Browser überwinden.

Die drei weiteren Schwachstellen benötigen ebenfalls eine Benutzereingabe, damit der jeweilige Exploit ausgenutzt werden kann. Auch hier gilt, die Sicherheitseinstellungen für Active Scripting so zu setzen, dass eine Interaktion des Anwenders benötigt wird. Bei allen Lücken handelt es sich um sogenannte Use-After-Free-Schwachstellen, die sich jeweils über die Objekte CtreePos, CCurrentStyle und CattrArray ausnutzen lassen. Auch sie funktionieren nur im Kontext des laufenden Prozesses. Es müsste also eine weitere Schwachstelle im Betriebssystem bestehen, um das System selbst anzugreifen.

Nachtrag vom 25. Juli 2015, 15:45 Uhr

In der ursprünglichen Meldung stand, dass ein Teil der genannten Lücken den Internet Explorer in der Desktop-Version betreffen. Dem ist nicht so. Gemeint ist ausschließlich Microsofts Browser in der mobilen Variante. Der Text wurde entsprechend geändert. Wir bitten, dies zu entschuldigen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 4,99€
  2. 23,49€
  3. 17,99€
  4. 2,49€

daazrael 26. Jul 2015

Eigentlich nicht, bin wohl nur gerne ausführlich. ;) Jepp, da stimme ich dir in beiden...

john4344 26. Jul 2015

Merkt man schon an dem (sinnlosen und fachlich unkorrektem) Inhalt. Hat er nicht. Reines...

garack 26. Jul 2015

Wie soll man das denn ausschalten. Das geht nicht. Irgendwas stimmt mit dem Artikel nicht.

hmuellers 25. Jul 2015

Text wrde zu schnell getippt.

Atalanttore 25. Jul 2015

Und Microsoft darf sie auch nach 4 Monaten noch nicht schließen.


Folgen Sie uns
       


Samsung Galaxy S20 - Hands on

Samsung hat gleich drei neue Modelle der Galaxy-S20-Serie vorgestellt. Golem.de konnte sich die Smartphones im Vorfeld bereits genauer anschauen.

Samsung Galaxy S20 - Hands on Video aufrufen
Leistungsschutzrecht: Drei Wörter sollen ...
Leistungsschutzrecht
Drei Wörter sollen ...

Der Vorschlag der Bundesregierung für das neue Leistungsschutzrecht stößt auf Widerstand bei den Verlegerverbänden. Überschriften mit mehr als drei Wörtern und Vorschaubilder sollen lizenzpfichtig sein. Dabei wenden die Verlage einen sehr auffälligen Argumentationstrick an.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht Memes sollen nur noch 128 mal 128 Pixel groß sein
  2. Leistungsschutzrecht Französische Verlage reichen Beschwerde gegen Google ein
  3. Leistungsschutzrecht Französische Medien beschweren sich über Google

Generationenübergreifend arbeiten: Bloß nicht streiten
Generationenübergreifend arbeiten
Bloß nicht streiten

Passen Generation Silberlocke und Generation Social Media in ein IT-Team? Ganz klar: ja! Wenn sie ihr Wissen teilen, kommt am Ende sogar Besseres heraus. Entscheidend ist die gleiche Wertschätzung beider Altersgruppen und keine Konflikte in den altersgemischten Teams.
Von Peter Ilg

  1. Frauen in der Technik Von wegen keine Vorbilder!
  2. Arbeit Warum anderswo mehr Frauen IT-Berufe ergreifen
  3. Arbeit Was IT-Recruiting von der Bundesliga lernen kann

Dreams im Test: Bastelwastel im Traumiversum
Dreams im Test
Bastelwastel im Traumiversum

Bereits mit Little Big Planet hat das Entwicklerstudio Media Molecule eine Kombination aus Spiel und Editor produziert, nun geht es mit Dreams noch ein paar Schritte weiter. Mit dem PS4-Titel muss man sich fast schon anstrengen, um nicht schöne Eigenkreationen zu erträumen.
Ein Test von Peter Steinlechner

  1. Ausdiskutiert Sony schließt das Playstation-Forum
  2. Sony Absatz der Playstation 4 geht weiter zurück
  3. PS4-Rücktasten-Ansatzstück im Test Tuning für den Dualshock 4

    •  /