Skip to main content

Microsoft wird kritische, aber langanhaltende Internet Explorer-Schwachstellen packen - manchmal

Microsoft hat am Donnerstag angekündigt, eine Sicherheitslücke in Internet Explorer 8 zu reparieren, von der es seit sieben Monaten bekannt ist, aber es wurde nicht angegeben.

Eine Sicherheitsforschungsgruppe innerhalb von Hewlett-Packard nannte die Zero Day Initiative (ZDI ) hat Details des Fehlers am Mittwoch veröffentlicht, nachdem Microsoft ihm Monate gegeben hat, um es anzugehen. Die Gruppe hält Details von Sicherheitslücken zurück, um Hacker nicht aus dem Verkehr zu ziehen, veröffentlicht jedoch ihre Ergebnisse, selbst wenn ein Fehler nicht behoben wurde.

Microsoft hat keine Angriffe entdeckt, die diese Sicherheitslücke genutzt haben. Fehler, der die Handhabung von CMarkup-Objekten betrifft.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Das Unternehmen gab keinen Grund für die lange Verzögerung, sagte aber in einer Erklärung, dass einige Patches länger dauern "Wir müssen alle gegen eine große Anzahl von Programmen, Anwendungen und unterschiedlichen Konfigurationen testen."

"Wir arbeiten weiter an der Lösung dieses Problems und werden ein Sicherheitsupdate veröffentlichen, wenn es soweit ist, um die Kunden zu schützen." es sagte.

Um den Fehler auszunutzen, müsste ein Angreifer einen Benutzer überzeugen, eine bösartige Website zu besuchen. Wenn der Angriff erfolgreich war, hätte ein Hacker die gleichen Rechte wie das Opfer auf dem Computer und könnte willkürlichen Code ausführen.

Microsofts nächstes Patch-Release, bekannt als "Patch Tuesday", ist für den 10. Juni geplant Emergency-Patch, wenn eine Schwachstelle in Angriffen weit verbreitet ist.

Wolfgang Kandek, CTO von Qualys, schrieb, dass Exploit-Entwickler wahrscheinlich ZDI's Advisory studieren, um einen Angriff zu entwickeln.

"Wir wissen nicht, wie schnell ein Exploit ist wird veröffentlicht, aber die verbleibende Zeit bis Patch Dienstag ist nicht so lang ", schrieb er.

Der belgische Forscher, der den Fehler gefunden hat, Peter Van Eeckhoutte, schrieb in seinem Blog am Donnerstag, dass, obwohl Microsoft den Fehler bekannt hat eine lange Zeit, "Ich glaube nicht, dass dies ein Hinweis darauf ist, dass Microsoft Fehlerberichte ignoriert oder sich überhaupt nicht um Sicherheit kümmert, also übertreiben wir die Dinge nicht."

"Microsoft leistet hervorragende Arbeit Umgang mit Schwachstellenberichten, Patches und Anrechnung von Forschern ", schrieb er. "Aber ich wäre wirklich besorgt, wenn der Fehler aktiv ausgenutzt würde und weitere 180 Tage nicht gepatcht würde."

ZDI empfahl in seinem Advisory, dass Benutzer die Internetsicherheitszoneneinstellungen in IE 8 auf "high" setzen, was blockiert ActiveX-Steuerelemente und Active Scripting. Auch die Verwendung von Microsofts Enhanced Mitigation Experience Toolkit (EMET) würde mehr Schutz bieten, schrieb er.