Schwachstelle in Microsoft Internet Explorer - Remote Code Execution
Update am 5. Jänner 2011
Die Sicherheitslücke ermöglicht Remote Code Execution - CERT.at ersucht daher um Beachtung der folgenden Meldung.
Beschreibung
Bereits Anfang Dezember wurde ein Fehler in der CSS-Verarbeitung im Internet Explorer gemeldet, damals waren aber die Details noch unter Verschluss. Am 20. 12. wurde ein Demo-exploit in das Metasploit Framework aufgenommen, es ist daher nun damit zu rechnen, dass dieser Fehler aktiv ausgenützt wird.
Von Seiten Microsofts liegt noch keine Stellungnahme vor.
Microsoft hat mittlerweile ein Advisory dazu herausgegeben.
Auswirkungen
Dieses Problem kann bereits durch bloßes Aufrufen einer entsprechend präparierten Webseite ausgenützt werden.
Da der Angreifer dadurch prinzipiell beliebigen Code auf betroffenen Systemen
ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell
alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN,
Fileshares, etc.) Daten und anderen Systeme gefährdet.
Es ist zu erwarten, dass diese Schwachstelle schon bald in großem Stil
ausgenützt wird, und Links auf entsprechend präparierte Webseiten
etwa per Spam-Mail verteilt werden.
Betroffene Systeme
Alle Benutzer von Microsoft Internet Explorer der folgenden Versionen:- Internet Explorer 6
- Internet Explorer 7
- Internet Explorer 8
Abhilfe
Ein Patch seitens Microsoft steht noch nicht zur Verfügung, daher kann momentan nur versucht werden, die Auswirkungen zu begrenzen, oder einen alternativen Browser (zB Mozilla Firefox, Opera, Google Chrome) zu verwenden.Folgende Security-Features erschweren das Ausnützen des Fehlers. es ist jedoch zu beachten, dass auch diese noch keinen vollständigen Schutz vor dieser Lücke bieten:
- Data Execution Prevention (DEP), per Default in Internet Explorer 8 auf Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2 und Windows 7 aktiv
- Protected Mode in Internet Explorer auf Windows Vista und Windows 7, siehe http://windows.microsoft.com/en-US/windows-vista/What-does-Internet-Explorer-protected-mode-do, per Default für die "Internet Zone" aktiv.
Microsoft hat mittlerweile ein Advisory dazu herausgegeben. Darin wird ebenso empfohlen, bis zum Erscheinen eines entsprechenden Updates, als Workaround eine höhere Sicherheitseinstellung (lt. Advisory dezidiert "Hoch") im Internet Explorer zu wählen.
Microsoft empfiehlt darin weiters, den Internet Explorer durch Einsatz ihres Tools EMET akut zu "härten".
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
US-CERT Meldung
http://www.kb.cert.org/vuls/id/634956
Full Disclosure Post
http://seclists.org/fulldisclosure/2010/Dec/110
ThreatPost Meldung
http://threatpost.com/en_us/blogs/new-remotely -exploitable-bug-found-internet-explorer-121010
BreakingPoint Artikel
http://www.breakingpointsystems.com/community/ blog/ie-vulnerability/
Metasploit
Metasploit Proof-of-Concept Code
ComputerWorld
http://www.computerworld.com/s/article/9202001/ Researchers_reveal_attack_code_for_new_IE_zero_day
Update: Advisory von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/2488013.mspx
Update: Informationen zu Microsoft's Security-Tool EMET
http://support.microsoft.com/kb/2458544