"Zero-Day" Sicherheitslücke in Microsoft Internet Explorer

5. Dezember 2014

Beschreibung

Die "Zero-Day-Initiative" der Firma Tipping Point hat ein Advisory veröffentlicht, in dem vor einer "Zero-Day"-Lücke (CVE-2014-8967) in Microsoft Internet Explorer gewarnt wird:
http://zerodayinitiative.com/advisories/ZDI-14-403/

CVSS (Common Vulnerability Scoring System) Score: 6.8, (AV:N/AC:M/Au:N/C:P/I:P/A:P).

Aktuell ist nicht bekannt, dass diese Schwachstelle in realen Angriffen verwendet wird. Es ist aber anzunehmen, dass sich nach der Veröffentlichung nun diverse Akteure darauf konzentrieren werden.

Auswirkungen

Um die Lücke auszunutzen, muss vom Benutzer eine entsprechend präparierte Webseite oder Datei geöffnet werden. Links auf diese können unter anderem per Spam-Mail verbreitet werden - es ist auch denkbar, dass Seiten, die es Usern erlauben, eigenen Content zu erstellen (etwa Blogs), mit entsprechenden Beiträgen präpariert werden.

Ob ein Ausnutzen über die "Vorschau"-Funktionen von Microsoft Outlook, Outlook Express und Windows Mail möglich ist, ist im Moment nicht bekannt.

Da der Angreifer nach einem erfolgreichen Angriff prinzipiell beliebigen Code mit den Rechten des angemeldeten Benutzers auf den betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Nach den aktuell vorliegenden Informationen sind die Versionen 8, 9, 10 und 11 des Internet Explorers auf folgenden Betriebssystemen betroffen:
  • Windows Server 2003 und x64 Edition SP2
  • Windows Vista und x64 Edition SP2
  • Windows Server 2008 für 32-bit und x64-basierte Systeme SP2
  • Windows 7 für 32-bit und x64-based Systeme SP1
  • Windows Server 2008 R2 für Itanium-basierte Systems und x64-basierte Systeme SP1
  • Windows 8 and 8.1 für 32-bit und x64-based Systeme
  • Windows Server 2012 und Windows Server 2012 R2
  • Windows RT und Windows RT 8.1

Achtung - Windows XP

Wir empfehlen Nutzern, die immer noch Windows XP verwenden, ein Upgrade auf aktuellere Versionen von Microsoft Windows oder andere Betriebssysteme, und bis dahin zumindest den Einsatz alternativer Browser (Mozilla Firefox, Google Chrome, Opera etc.).

Abhilfe

Sobald verfügbar, Upgrade auf entsprechend gefixte Versionen von Microsoft Internet Explorer.
Wo möglich Einsatz alternativer Browser (etwa Mozilla Firefox, Google Chrome, Opera), zumindest bis zum Vorliegen entsprechender Patches für Internet Explorer.

Wo der Einsatz alternativer Browser nicht oder nur schwer möglich ist, kann laut Informationen, die im Advisory der Zero-Day-Initiative angeführt sind, mit folgenden Methoden ein Ausnutzen dieser Lücke verhindert oder zumindest erschwert werden:

  • Setzen der Sicherheitseinstellungen für "Internet" auf "hoch", um Active Scripting (JavaScript) und ActiveX Controls in dieser Zone zu deaktivieren. Dies kann Auswirkungen auf die Funktionalität von Webseiten haben.
  • Internet Explorer so zu konfigurieren, dass vor dem Ausführen von Active Scripting-Komponenten (JavaScript) auf Webseiten beim Benutzer nachgefragt wird.
  • EMET (Enhanced Mitigation Experience Toolkit) aktivieren und für Internet Explorer konfigurieren. Details dazu finden sich auf den Webseiten von Microsoft, etwa hier: http://support.microsoft.com/kb/2458544

Microsoft hat für den nächsten "Patch-Day" (Dienstag, 9. Dezember), ein Update für eine Remote Code Execution-Lücke in Internet Explorer angekündigt - es ist jedoch momentan nicht bekannt, ob das das gegenständliche Problem (CVE-2014-8967) betrifft.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Advisory der "Zero-Day-Initiative" (englisch)
http://zerodayinitiative.com/advisories/ZDI-14-403/
Vulnerability Alert von Cisco (englisch)
http://tools.cisco.com/security/center/viewAlert.x?alertId=36659