Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Security: Vier ungepatchte Lücken im Internet Explorer

Die HP-Tochter Tipping Point hat Informationen zu vier Lücken im Internet Explorer für Windows Phone veröffentlicht. Microsoft weiß seit vier Monaten davon, Patches stehen aber noch aus.
Aktualisiert am , veröffentlicht am / Jörg Thoma
30 Kommentare News folgen (öffnet im neuen Fenster)
Tipping Point hat vier Schwachstellen im Internet Explorer für Windows Phone öffentlich gemacht. (Bild: Screenshot Golem.de)
Tipping Point hat vier Schwachstellen im Internet Explorer für Windows Phone öffentlich gemacht. Bild: Screenshot Golem.de

Gleich vier Lücken im Internet Explorer für Windows Phone haben die Experten bei Tipping Point veröffentlicht. Die HP-Tochter hatte Microsoft bereits vor vier Monaten über die Schwachstellen informiert. Microsoft bat um diese Frist, um die Schwachstellen zu schließen. Bis jetzt wurden die Lücken nicht geschlossen, deshalb entschied sich Tipping Point, die Informationen darüber zu veröffentlichen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Revisor/-in / Prüfungsleitung Ausrichtung IT, Informationssicherheit und Projektmanagement (m/w/d) – ohne Reisetätigkeit – VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe (öffnet im neuen Fenster)
IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)
Softwareentwickler Drohnendetektion und -abwehr (w/m/d) Hensoldt, Fürstenfeldbruck (öffnet im neuen Fenster)
Sachbearbeiter (m/w/d) DSGVO-Anfragen Pair Finance GmbH, Berlin (öffnet im neuen Fenster)
Anwendungsentwickler*in (m/w/div) Deutsche Rentenversicherung Bund, Berlin (öffnet im neuen Fenster)
Junior Manager Netzwerk und Sicherheit (m/w/d) LOSAN Pharma GmbH, Eschbach (öffnet im neuen Fenster)
Application Manager Künstliche Intelligenz (m/w/d) HELUKABEL GmbH, Hemmingen (öffnet im neuen Fenster)
Business IT-Consultant (m/w/d) RK Kutting GmbH, Talheim (öffnet im neuen Fenster)

Alle drei entdeckte Tipping Point im Internet Explorer für Windows Phone. Diese Schwachstelle(öffnet im neuen Fenster) lässt sich allerdings nur ausnutzen, wenn der Nutzer explizit einen E-Mail-Link oder eine Instant-Messenger-Nachricht anklickt. Anwender sollten darauf achten, dass Active Scripting in den Sicherheitseinstellungen nur nach einer Benutzereingabe ausgeführt werden darf. Diese Schwachstelle wurde während des Hacking-Wettbewerbs Mobile Pwn2Own vom Vupen-Mitarbeiter Nicolas Joly entdeckt(öffnet im neuen Fenster) . Er konnte damals aber nicht die Sandbox von Microsofts Browser überwinden.

Die drei weiteren Schwachstellen benötigen ebenfalls eine Benutzereingabe, damit der jeweilige Exploit ausgenutzt werden kann. Auch hier gilt, die Sicherheitseinstellungen für Active Scripting so zu setzen, dass eine Interaktion des Anwenders benötigt wird. Bei allen Lücken handelt es sich um sogenannte Use-After-Free-Schwachstellen, die sich jeweils über die Objekte CtreePos(öffnet im neuen Fenster) , CCurrentStyle(öffnet im neuen Fenster) und CattrArray(öffnet im neuen Fenster) ausnutzen lassen. Auch sie funktionieren nur im Kontext des laufenden Prozesses. Es müsste also eine weitere Schwachstelle im Betriebssystem bestehen, um das System selbst anzugreifen.

Nachtrag vom 25. Juli 2015, 15:45 Uhr

In der ursprünglichen Meldung stand, dass ein Teil der genannten Lücken den Internet Explorer in der Desktop-Version betreffen. Dem ist nicht so. Gemeint ist ausschließlich Microsofts Browser in der mobilen Variante. Der Text wurde entsprechend geändert. Wir bitten, dies zu entschuldigen.

Zur Startseite 30 Kommentare

Relevante Themen

Technik/HardwareMobile EndgeräteSoftwareUnternehmenssoftwareInstant MessengerApplikationenHPWindows PhoneBrowser