• IT-Karriere:
  • Services:

Zero-Day: Microsoft warnt vor kritischen Lücken in IE und Edge

Im mittlerweile dritten Anlauf warnt Microsoft vor einer kritischen Sicherheitslücke im Internet Explorer, die aktiv ausgenutzt wird. Eine weitere kritische Lücke in Edge ermöglicht ebenfalls das Ausführen von Code. Das Unternehmen hat zudem eine Vielzahl anderer Lücken geschlossen.

Artikel veröffentlicht am ,
Microsoft hat eine Vielzahl Sicherheitslücken geschlossen und warnt vor einer Zero-Day-Lücke im IE.
Microsoft hat eine Vielzahl Sicherheitslücken geschlossen und warnt vor einer Zero-Day-Lücke im IE. (Bild: Tony Webster, flickr.com/CC-BY 2.0)

Software-Hersteller Microsoft hat an seinem sogenannten Patchday für den Februar ein Vielzahl unterschiedlicher teils kritischer Sicherheitslücken geschlossen. Dabei handelt es sich insgesamt um 99 Fehler in den verschiedenen von dem Hersteller gepflegten Softwareprodukten, wie die Security-Spezialisten von Trendmicro berichten. Die wohl wichtigste dieser Sicherheitslücken betrifft den Internet Explorer.

Stellenmarkt
  1. RATIONAL Wittenheim SAS, Wittenheim (Frankreich)
  2. Stadt Norderney, Norderney

Bereits Mitte Januar hatte Microsoft vor einer Sicherheitslücke in seinem veralteten Browser gewarnt, die aktiv für Angriffe ausgenutzt werde. Die Lücke (CVE-2020-0674) ist dabei auf einen Speicherfehler in der Scripting-Engine des Browsers zurückzuführen, die es Angreifern ermöglicht, Schadcode auszuführen. Das gilt aber nicht nur für speziell präparierte Webseiten, sondern auch etwa für einige eingebettete Objekte in Office-Dokumenten, die die Engine ebenfalls verwenden.

Dritte Variante einer Lücke

Der bisherige Workaround besteht darin, die Engine global zu deaktivieren. Das dürfte aber die Nutzung vieler Webseiten stark einschränken. Darüber hinaus stellt Microsoft aber derzeit auch noch keinen Patch bereit, der die Lücke vollständig schließt. Wie schwierig dies ist, zeigt ein Kommentar der Google-Entwicklerin Maddie Stone.

Demnach handelt es sich bei der aktuellen Lücke lediglich um eine Variante einer weiteren Lücke, deren Ausnutzung ein Team von Google bereits im vergangen September entdeckt hatte. Laut Stone ist es sogar schon die dritte Variante der Lücke, die Microsoft offenbar nicht wie gewünscht dauerhaft schließen kann.

Auch der neue Edge-Browser hat eine Sicherheitslücke (CVE-2020-0767) in seiner Scripting-Engine ChakraCore. Demnach handelt es sich dabei noch um Microsofts eigene Engine und nicht um eine Lücke in dem Browser auf der neuen Chromium-Basis. Diese Lücke ermöglicht ebenfalls das Ausführen von Code, Microsoft hält die aktive Ausnutzung der Lücke jedoch für weniger wahrscheinlich.

Weitere Sicherheitslücken betreffen etwa eine Umgehungsmöglichkeit von Secure Boot (CVE-2020-0689), zudem Codeausführung in Microsoft Exchange (CVE-2020-0688), im Remote Desktop Client (CVE-2020-0681) oder auch in den Windows Media Foundations (CVE-2020-0738). Für alle der genannten Lücken und viele weitere stellt Microsoft entsprechende Updates bereit, eben bis auf die erwähnte Lücke im IE an deren Behebung noch gearbeitet wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 7,99€
  2. 9,99€

Folgen Sie uns
       


Microsoft Flight Simulator 2020 angespielt

Golem.de hat den Microsoft Flight Simulator 2020 in einer Vorabfassung angespielt und erste Eindrücke aus den detaillierten Cockpits gesammelt.

Microsoft Flight Simulator 2020 angespielt Video aufrufen
IT in Behörden: Modernisierung unerwünscht
IT in Behörden
Modernisierung unerwünscht

In deutschen Amtsstuben kommt die Digitalisierung nur schleppend voran. Das liegt weniger an den IT-Abteilungen als an ihren fachfremden Kollegen.
Ein Bericht von Andreas Schulte

  1. ITDZ Glasfaserausbau für Berliner Schulen nicht mal beauftragt
  2. Digitalisierung Krankschreibung per Videosprechstunde wird möglich
  3. Golem on Edge Homeoffice im Horrorland

Golem on Edge: Wo Nachbarn alles teilen - auch das Internet
Golem on Edge
Wo Nachbarn alles teilen - auch das Internet

Mehr schlecht als recht arbeiten zu können und auch nur dann, wenn die Nachbarn nicht telefonieren - das war keine Dauerlösung. Wie ich endlich Internet in meine Datsche bekommen habe.
Eine Kolumne von Sebastian Grüner

  1. Anzeige Die voll digitalisierte Kaserne der Zukunft
  2. Keine Glasfaser, keine IT-Kompetenz Schulen bemühen sich vergeblich um Geld aus dem Digitalpakt
  3. Kultusministerien Schulen rufen kaum Geld aus Digitalpakt ab

8Sense im Test: Vibration am Kragen gegen Schmerzen im Rücken
8Sense im Test
Vibration am Kragen gegen Schmerzen im Rücken

Das Startup 8Sense will mit einem Ansteckclip einer Bürokrankheit entgegenwirken: Rückenschmerzen. Das funktioniert - aber nicht immer.
Ein Test von Oliver Nickel

  1. Rufus Cuff Handgelenk-Smartphone soll doch noch erscheinen
  2. Fitnesstracker im Test Aldi sportlich abgeschlagen hinter Honor und Mi Band 4

    •  /