Erneut kritische Sicherheitslücke in Microsoft Internet Explorer

15. Jänner 2010, Updates am 19. und 21. Jänner.

Erneut kritische Sicherheitslücke in Microsoft Internet Explorer

Potentielle Remote Code Execution - wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Wie Microsoft berichtet, gibt es aktuell eine Lücke in allen aktuellen Internet Explorer - Versionen, mittels welcher Remote Code Execution möglich ist. Laut anderen Meldungen (zB bei Heise Security) wurde diese Lücke bereits für gezielte Attacken eingesetzt, und es ist durch das allgemeine Bekanntwerden nun damit zu rechnen, dass breiter angelegte Angriffe bald auftauchen werden.

Update
Code zum Ausnützen dieser Schwachstelle wurde bereits in das Metasploit Framework integriert.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Alle Systeme, auf denen Microsoft Internet Explorer installiert ist und benutzt wird.

Laut der mittlerweile vorliegenden Meldung von Microsoft sind folgende Versionen betroffen:
  • Internet Explorer ab Version 6

Update
Die Versionen 7 und 8 des Microsoft Internet Explorers enthalten zwar auch den Fehler, dieser gilt aber wegen weiterer Schutzmaßnahmen als nicht so leicht ausnutzbar.

Es ist aber zu erwarten, dass bald auch funktionierende Exploits für diese Versionen geschrieben und publiziert werden.

Laut dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) sind auch folgende Windows-Programme potentiell verwundbar, da sie auf die gleiche Codebasis zum Anzeigen von HTML-Dokumenten zurückgreifen:

  • Microsoft Outlook (bis einschließlich Outlook 2003)
  • Microsoft Outlook Express
  • Microsoft Windows Mail
  • Microsoft Windows Live Mail
  • Microsoft Hilfesystem
  • Microsoft Sidebar
Details stehen in der technischen Warnung des BSI.

Abhilfe

Eine Möglichkeit ist das Abschalten von JavaScript (Active Scripting für Internet-Zone deaktivieren), da die aktuell bekannten Exploits JavaScript verwenden. Allerdings werden ohne JavaScript viele Webseiten nicht mehr wie gewohnt funktionieren. Microsoft empfiehlt auch, für die Versionen 6 und 7 DEP (Data Execution Prevention) zu aktivieren, Details siehe Microsoft-Meldung.

Update
In den oben genannten Mailprogrammen sollte für die Anzeige von Mails die höchsten Sicherheitseinstellungen gelten ("Eingeschränkte Zone", kein HTML). Details siehe Meldung des BSI.

Microsoft arbeitet mit Hochdruck an einem Out-of-band Bugfix. Wir empfehlen, diesen möglichst zeitnah einzuspielen, sobald er verfügbar ist.

Update
Eine korrigierte Version des Internet Explorers ist jetzt erhältlich und wird über Windows Update verteilt. Details stehen in Microsofts Security Bulletin MS10-002.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/979352.mspx
Hintergrundinformationen von Microsoft (englisch)
http://blogs.technet.com/srd/archive/2010/01/15/assessing-risk-of-ie-0day-vulnerability.aspx
Technische Warnung des BSI
http://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2f0plfLqIWJ5YT%2fUA%253d%253d
Microsoft Security Bulletin MS10-002
http://www.microsoft.com/technet/security/bulletin/ms10-002.mspx