Zero-Day: Microsoft warnt vor kritischen Lücken in IE und Edge

Im mittlerweile dritten Anlauf warnt Microsoft vor einer kritischen Sicherheitslücke im Internet Explorer, die aktiv ausgenutzt wird. Eine weitere kritische Lücke in Edge ermöglicht ebenfalls das Ausführen von Code. Das Unternehmen hat zudem eine Vielzahl anderer Lücken geschlossen.

Artikel veröffentlicht am ,
Microsoft hat eine Vielzahl Sicherheitslücken geschlossen und warnt vor einer Zero-Day-Lücke im IE.
Microsoft hat eine Vielzahl Sicherheitslücken geschlossen und warnt vor einer Zero-Day-Lücke im IE. (Bild: Tony Webster, flickr.com/CC-BY 2.0)

Software-Hersteller Microsoft hat an seinem sogenannten Patchday für den Februar ein Vielzahl unterschiedlicher teils kritischer Sicherheitslücken geschlossen. Dabei handelt es sich insgesamt um 99 Fehler in den verschiedenen von dem Hersteller gepflegten Softwareprodukten, wie die Security-Spezialisten von Trend Micro berichten. Die wohl wichtigste dieser Sicherheitslücken betrifft den Internet Explorer.

Stellenmarkt
  1. Product Lead (f/m/d)
    NEXPLORE Technology GmbH, Essen, Darmstadt, München
  2. Consultant Backup (m/w/d)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
Detailsuche

Bereits Mitte Januar hatte Microsoft vor einer Sicherheitslücke in seinem veralteten Browser gewarnt, die aktiv für Angriffe ausgenutzt werde. Die Lücke (CVE-2020-0674) ist dabei auf einen Speicherfehler in der Scripting-Engine des Browsers zurückzuführen, die es Angreifern ermöglicht, Schadcode auszuführen. Das gilt aber nicht nur für speziell präparierte Webseiten, sondern auch etwa für einige eingebettete Objekte in Office-Dokumenten, die die Engine ebenfalls verwenden.

Dritte Variante einer Lücke

Der bisherige Workaround besteht darin, die Engine global zu deaktivieren. Das dürfte aber die Nutzung vieler Webseiten stark einschränken. Darüber hinaus stellt Microsoft aber derzeit auch noch keinen Patch bereit, der die Lücke vollständig schließt. Wie schwierig dies ist, zeigt ein Kommentar der Google-Entwicklerin Maddie Stone.

Demnach handelt es sich bei der aktuellen Lücke lediglich um eine Variante einer weiteren Lücke, deren Ausnutzung ein Team von Google bereits im vergangen September entdeckt hatte. Laut Stone ist es sogar schon die dritte Variante der Lücke, die Microsoft offenbar nicht wie gewünscht dauerhaft schließen kann.

Golem Karrierewelt
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    14./15.02.2023, virtuell
  2. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    28.02.2023, Virtuell
Weitere IT-Trainings

Auch der neue Edge-Browser hat eine Sicherheitslücke (CVE-2020-0767) in seiner Scripting-Engine ChakraCore. Demnach handelt es sich dabei noch um Microsofts eigene Engine und nicht um eine Lücke in dem Browser auf der neuen Chromium-Basis. Diese Lücke ermöglicht ebenfalls das Ausführen von Code, Microsoft hält die aktive Ausnutzung der Lücke jedoch für weniger wahrscheinlich.

Weitere Sicherheitslücken betreffen etwa eine Umgehungsmöglichkeit von Secure Boot (CVE-2020-0689), zudem Codeausführung in Microsoft Exchange (CVE-2020-0688), im Remote Desktop Client (CVE-2020-0681) oder auch in den Windows Media Foundations (CVE-2020-0738). Für alle der genannten Lücken und viele weitere stellt Microsoft entsprechende Updates bereit, eben bis auf die erwähnte Lücke im IE an deren Behebung noch gearbeitet wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Amazon Shopper Panel
Amazon zahlt für Überwachung des Smartphone-Datenverkehrs

Wer seinen gesamten Smartphone-Datenverkehr über Amazons Server leitet, wird mit einem monatlichen Gutschein dafür bezahlt.

Amazon Shopper Panel: Amazon zahlt für Überwachung des Smartphone-Datenverkehrs
Artikel
  1. Vodafone und Telekom: LTE-Ausbau in Berliner Bahntunneln dauert weitere Jahre
    Vodafone und Telekom
    LTE-Ausbau in Berliner Bahntunneln dauert weitere Jahre

    Laut Senatsverwaltung kam der Ausbau der Base-Transceiver-Station-Hotels nicht wie geplant voran. Nicht nur die Kunden von Vodafone und Telekom haben das Nachsehen.

  2. Northrop Grumman: B21 Raider als erster digitaler Bomber vorgestellt
    Northrop Grumman
    B21 Raider als erster digitaler Bomber vorgestellt

    Northrop Grumman hat mit dem B-21 Raider eine neuen Tarnkappenbomber vorgestellt. Dabei kamen agile Softwareentwicklung und digitales Engineering zum Einsatz.

  3. Soziale Netzwerke: Liken bei Hasspostings kann strafbar sein
    Soziale Netzwerke
    Liken bei Hasspostings kann strafbar sein

    Facebook-Nutzer, die nicht davor zurückschrecken, diskriminierende oder beleidigende oder Postings zu liken, sollten sich das gut überlegen. Denn das Drücken des Gefällt-mir-Buttons kann hier erhebliche rechtliche Folgen haben.
    Von Harald Büring

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • SanDisk Extreme PRO 1TB 141,86€ • Amazon-Geräte bis -53% • Mindstar: Alphacool Eiswolf 2 AiO 360 199€, AMD-Ryzen-CPUs zu Bestpreisen • Alternate: WD_BLACK P10 2TB 76,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /