Lücke in Microsoft Internet Explorer
20. Dezember 2012
Update: 22. Dezember 2012
Informationsquelle(n):
Meldung bei Security Focus (englisch)
http://www.securityfocus.com/archive/1/525086/30/0/threaded
Diskussion auf Full Disclosure (Englisch)
http://seclists.org/fulldisclosure/2012/Dec/224
Update: 22. Dezember 2012
Beschreibung
Wie diverse Quellen melden, hat ein Security-Researcher ein Stack Overflow-Problem in aktuellen Versionen von Microsoft Internet Explorer gefunden, welches sich unter Umständen für Remote Code Execution ausnützen lassen könnte.Wir erwarten, dass gegebenenfalls entsprechend präparierte Webseiten auftauchen und URLs darauf etwa per Spam-Mail verteilt werden.
Update (22.12.2012):
Inzwischen liegt uns eine (leider auf keiner offiziellen Webseite verlinkbare) Stellungnahmen von Microsoft vor: Der Bug ist ein Überlauf der Stack-Größe, nicht aber ein Buffer-Overflow im Stack. Diese Art von Crash eignet sich rein für einen Denial-of-Service, aber nicht für einen remote code execution Exploit.
Inzwischen liegt uns eine (leider auf keiner offiziellen Webseite verlinkbare) Stellungnahmen von Microsoft vor: Der Bug ist ein Überlauf der Stack-Größe, nicht aber ein Buffer-Overflow im Stack. Diese Art von Crash eignet sich rein für einen Denial-of-Service, aber nicht für einen remote code execution Exploit.
Wir können daher hier Entwarnung geben, dieser Fehler im IE lässt sich nicht für Einbrüche nutzen.
Auswirkungen
Da der Angreifer - falls ein Ausnutzen der Lücke tatsächlich möglich ist - beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.Betroffene Systeme
- Microsoft Internet Explorer 7, 8 und 9 unter Windows XP, Vista und 7
Abhilfe
Die Faktenlage ist bis dato noch relativ dünn, und Aussagen zur Ausnutzbarkeit der Lücke für praktische Angriffe widersprüchlich. Eine offizielle Stellungnahme von Microsoft steht noch aus, und es ist aktuell kein Patch verfügbar.Wir empfehlen daher, zumindest bis zur Verfügbarkeit einer offiziellen Empfehlung von Microsoft, nach Möglichkeit auf alternative Browser (zum Beispiel Mozilla Firefox, Google Chrome, Opera) auszuweichen.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Meldung bei Security Focus (englisch)
http://www.securityfocus.com/archive/1/525086/30/0/threaded
Diskussion auf Full Disclosure (Englisch)
http://seclists.org/fulldisclosure/2012/Dec/224