Neue Zero-Day-Sicherheitslücke im Internet Explorer
Das Sicherheitsunternehmen Fireeye hat im Internet Explorer eine Zero-Day-Sicherheitslücke entdeckt, die das Einschleusen von Schadsoftware ermöglicht.
11. November 2013
Wie die Sicherheitsforscher von Fireeye in einem Blogeintrag melden, haben sie auf einer manipulierten US-Webseite einen Exploit für eine Zero-Day-Sicherheitslücke in Microsofts Internet Explorer entdeckt. Die Webseite schleust per Drive-by-Download eine Schadsoftware auf das Systeme und führt diese aus, wenn sie mit dem Internet Explorer geöffnet wird. Dazu verwenden die Angreifer zwei Schwachstellen, die bislang nicht bekannt waren. Die erste Lücke ermöglicht die Auslesung des Zeitstempels der Windows-Bibliothek “msvcrt.dll” und diese Information an deN Serve3r der Angreifer zu übermitteln. Danach wird de Exploit an die vorhandene Version der Zeitstempel-Datei angepasst. Und in dieser Datei findet sich wiederum ein Speicherfehler, der eine Remote-Code-Ausführung erlaubt. Betroffen sind laut Fireeye Internet Explorer 7 und 8 auf Windows XP sowie Internet Explorer 9 auf Windows 7. Zudem funktioniert der Exploit nur mit den englischen Versionen des Browsers.
(abr)
Weitere Artikel zum Thema
Acht Updates am Oktober-Patchday von Microsoft
7. Oktober 2013 - Microsoft hat für den Oktober-Patchday acht Sicherheits-Updates angekündigt. Einer der Patches soll eine bereits ausgenutzte Zero-Day-Lücke im Internet Explorer beheben.Zero-Day-Lücken sollen nach sieben Tagen offengelegt werden
2. Juni 2013 - Google ist der Überzeugung, dass man auf Zero-Day-Lücken schneller reagieren muss, weshalb das Unternehmen Sicherheitslücken fortan bereits nach sieben Tagen offen legen will.Zero-Day-Lücke in Coldfusion
10. Mai 2013 - Adobe warnt vor einer Zero-Day-Lücke in Coldfusion. Über das Leck könnten Angreifer Zugriff auf den Server erhalten und Dateien herunterladen.Artikel kommentieren
