Microsoft-Edge-Lücke über Code in Website aktivierbar
Quelle: Pixabay/geralt

Microsoft-Edge-Lücke über Code in Website aktivierbar

Ein Sicherheitsforscher hat Proof of Concept (PoC) Code veröffentlicht, der, in einer Website versteckt, eine mittlerweile geschlossene Lücke im Edge Browser ausnutzen konnte, um Zugriff auf den betroffenen Rechner zu erlangen.
15. Oktober 2018

     

Der Sicherheitsforscher Abdulrahman Al-Qabandi hat in seinem Blog eine Lücke im Edge Browser beschrieben, die über Code aktiviert werden konnte, der in einer Website verborgen liegt. Wie "Zdnet" schreibt, hat Al-Qabandi Microsoft über die Zero-Day-Initiative von Trend Micro auf die Lücke aufmerksam gemacht, die mittlerweile im Windows Oktober-Update geschlossen wurde.


Erstaunlich ist, dass der Proof of Concept Code, den Al-Qabandi zur Verfügung gestellt hat, lediglich aus HTML und Javascript besteht. Ein Angreifer könnte diesen deshalb leicht in einer beliebigen Website verstecken und müsste das Opfer nur dazu bringen, diese Website mit dem Edge Browser zu besuchen. Es würde danach reichen, die Enter-Taste zu drücken, um ein Visual Basic Script über den Windows Script Host auszuführen, was es einem geübten Hacker ermöglichen würde, alle möglichen Aktionen auf dem Zielrechner auszuführen. Laut Microsoft seien keine Fälle bekannt, in denen die Lücke ausgenutzt wurde. (luc)




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER