Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Zero-Day: Microsoft warnt vor kritischen Lücken in IE und Edge

Im mittlerweile dritten Anlauf warnt Microsoft vor einer kritischen Sicherheitslücke im Internet Explorer, die aktiv ausgenutzt wird. Eine weitere kritische Lücke in Edge ermöglicht ebenfalls das Ausführen von Code. Das Unternehmen hat zudem eine Vielzahl anderer Lücken geschlossen.
/ Sebastian Grüner
Kommentare News folgen (öffnet im neuen Fenster)
Microsoft hat eine Vielzahl Sicherheitslücken geschlossen und warnt vor einer Zero-Day-Lücke im IE. (Bild: Tony Webster, flickr.com)
Microsoft hat eine Vielzahl Sicherheitslücken geschlossen und warnt vor einer Zero-Day-Lücke im IE. Bild: Tony Webster, flickr.com / CC-BY 2.0

Software-Hersteller Microsoft hat an seinem sogenannten Patchday für den Februar(öffnet im neuen Fenster) ein Vielzahl unterschiedlicher teils kritischer Sicherheitslücken geschlossen. Dabei handelt es sich insgesamt um 99 Fehler in den verschiedenen von dem Hersteller gepflegten Softwareprodukten, wie die Security-Spezialisten von Trend Micro berichten(öffnet im neuen Fenster) . Die wohl wichtigste dieser Sicherheitslücken betrifft den Internet Explorer.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Mitarbeiter/-in im IT-Support & Helpdesk (m/w/d) - CIT2025-41 Technische Universität München, München (öffnet im neuen Fenster)
IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)
Projektmanager/in - Wirtschaftsingenieur/in - Wirtschaftsinformatiker/in (o.ä.) - m/w/d - für das Projektmanagement der IT-Anwendung BUBE Hessisches Landesamt für Naturschutz, Umwelt und Geologie, Kassel (öffnet im neuen Fenster)
Service Architects für Linux-basierte Systeme (m/w/d) Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen, Göttingen (öffnet im neuen Fenster)
Assistenz (m/w/d) in der Abteilung Unfallprävention: Digitalisierung - Technologien Deutsche Gesetzliche Unfallversicherung e.V., Sankt Augustin (öffnet im neuen Fenster)
Data Engineer mit Schwerpunkt AI & Power BI (m/w/d) IBC Solar AG, Bad Staffelstein (öffnet im neuen Fenster)
Abschlussarbeit - Aufbau eines Messsystems zur Bestimmung der Modulationstransferfunktion wenglor sensoric gmbH, Tettnang (öffnet im neuen Fenster)
Mitarbeiter/-in Projektierung und Administration IT-Applikationen / Schwerpunkt DMS (m/w/d) Stadt Hildesheim, Hildesheim (öffnet im neuen Fenster)

Bereits Mitte Januar hatte Microsoft vor einer Sicherheitslücke in seinem veralteten Browser gewarnt(öffnet im neuen Fenster) , die aktiv für Angriffe ausgenutzt werde. Die Lücke (CVE-2020-0674) ist dabei auf einen Speicherfehler in der Scripting-Engine des Browsers zurückzuführen, die es Angreifern ermöglicht, Schadcode auszuführen. Das gilt aber nicht nur für speziell präparierte Webseiten, sondern auch etwa für einige eingebettete Objekte in Office-Dokumenten, die die Engine ebenfalls verwenden.

Dritte Variante einer Lücke

Der bisherige Workaround besteht darin, die Engine global zu deaktivieren. Das dürfte aber die Nutzung vieler Webseiten stark einschränken. Darüber hinaus stellt Microsoft aber derzeit auch noch keinen Patch bereit, der die Lücke vollständig schließt. Wie schwierig dies ist, zeigt ein Kommentar der Google-Entwicklerin Maddie Stone(öffnet im neuen Fenster) .

Demnach handelt es sich bei der aktuellen Lücke lediglich um eine Variante einer weiteren Lücke, deren Ausnutzung ein Team von Google bereits im vergangen September entdeckt hatte . Laut Stone ist es sogar schon die dritte Variante der Lücke, die Microsoft offenbar nicht wie gewünscht dauerhaft schließen kann.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Auch der neue Edge-Browser hat eine Sicherheitslücke (CVE-2020-0767) in seiner Scripting-Engine ChakraCore(öffnet im neuen Fenster) . Demnach handelt es sich dabei noch um Microsofts eigene Engine und nicht um eine Lücke in dem Browser auf der neuen Chromium-Basis . Diese Lücke ermöglicht ebenfalls das Ausführen von Code, Microsoft hält die aktive Ausnutzung der Lücke jedoch für weniger wahrscheinlich.

Weitere Sicherheitslücken betreffen etwa eine Umgehungsmöglichkeit von Secure Boot(öffnet im neuen Fenster) (CVE-2020-0689), zudem Codeausführung in Microsoft Exchange(öffnet im neuen Fenster) (CVE-2020-0688), im Remote Desktop Client(öffnet im neuen Fenster) (CVE-2020-0681) oder auch in den Windows Media Foundations(öffnet im neuen Fenster) (CVE-2020-0738). Für alle der genannten Lücken und viele weitere stellt Microsoft entsprechende Updates bereit, eben bis auf die erwähnte Lücke im IE an deren Behebung noch gearbeitet wird.

Zur Startseite Kommentare

Relevante Themen

SoftwareUnternehmenssoftwareBetriebssystemeSecuritySicherheitslückeUpdates & PatchesMS EdgePatchday