Update: Mehrere kritische Sicherheitslücken in Microsoft Internet Explorer Mobile - Patches noch nicht verfügbar

21. Juli 2015

Update 24. Juli 2015

Beschreibung

Die "Zero Day Initiative" (ZDI) hat Informationen über mehrere noch ungepatchte Sicherheitslücken in Microsoft Internet Explorer veröffentlicht:

Höchster CVSS2 Score laut ZDI:
7.5, (AV:N/AC:L/Au:N/C:P/I:P/A:P).

Update 24. Juli 2015

Einem Beitrag auf arstechnica zufolge ist anscheinend nur Internet Explorer Mobile von den Schwachstellen betroffen. Die ZDI-Advisories wurden offensichtlich aktualisiert und führen nur mehr den Internet Explorer Mobile als verwundbar an.

Details

Das Problem liegt im Umgang von Internet Explorer mit HTML Tables sowie CTreePos, CCurrentStyle und CAttrArray Objekten. Dies kann ausgenutzt werden, um beliebigen (Schad-)Code im Kontext des Internet Explorer-Prozesses, und damit wohl mit den Rechten des angemeldeten Benutzers, auszuführen.

Auswirkungen

Wenn ein User eine präparierte Datei öffnet oder auf eine entsprechende Webseite gelockt wird, dann kann der Angreifer beliebigen Code auf betroffenen Systemen, vermutlich mit den Rechten des aktuell angemeldeten Benutzers, ausführen.

Da das Problem nun öffentlich bekannt ist, ist damit zu rechnen dass sich die entsprechenden Akteure nun darauf konzentrieren werden, entsprechende Webseiten zu erstellen und - etwa mittels Spam-Mails - Benutzer dazu zu bringen, diese zu besuchen. Auch eine Integration in Exploit Packs ist damit absehbar.

Betroffene Systeme

Da der Internet Explorer mit allen Versionen von Microsoft Windows ausgeliefert wird, sind alle Versionen von Microsoft Windows potentiell betroffen - inklusive Windows Phone und der Server-Editionen.

Update 24. Juli 2015

Potentiell betroffen sind alle Systeme, die Internet Explorer Mobile verwenden.

Abhilfe

Da noch keine entsprechenden Updates seitens Microsoft zur Verfügung stehen, können wir momentan nur empfehlen, wo möglich andere Web Browser (etwa Mozilla Firefox, Google Chrome, Opera) einzusetzen.

Update 24. Juli 2015

Auf betroffenen Systemen ist ein Ausweichen auf die Mobilversionen anderer Webbrowser zu empfehlen.

Wo dies nicht möglich ist, sollte der Internet-Zugriff mittels Internet Explorer auf notwendige und vertrauenswürdige Seiten eingeschränkt werden (etwa mittels Proxy-Regeln).

Laut ZDI kann es auch ausreichend sein, "Active Scripting" im Internet Explorer abzuschalten bzw. auf "Nachfrage vor Ausführung" zu konfigurieren. Wir empfehlen jedoch trotzdem, momentan so weit wie möglich auf Nutzung des Internet Explorers zu verzichten.

Sollten wir zu einem späteren Zeitpunkt über mehr Informationen verfügen, werden wir diese Warnung entsprechend aktualisieren - die aktuelle Version ist immer via https://cert.at/ abrufbar.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten möglichst für alle Arten von Browser-Plugins verwendet werden.
Informationsquelle(n):

Advisory ZDI-15-359 der Zero Day Initiative (englisch)
http://www.zerodayinitiative.com/advisories/ZDI-15-359/
Advisory ZDI-15-360 der Zero Day Initiative (englisch)
http://www.zerodayinitiative.com/advisories/ZDI-15-360/
Advisory ZDI-15-361 der Zero Day Initiative (englisch)
http://www.zerodayinitiative.com/advisories/ZDI-15-361/
Advisory ZDI-15-362 der Zero Day Initiative (englisch)
http://www.zerodayinitiative.com/advisories/ZDI-15-362/
Beitrag auf arstechnica (englisch)
http://arstechnica.com/security/2015/07/fully-patched-internet-explorer-menaced-by-a-whopping-4-code-execution-bugs/