Seit über einem halben Jahr weist der Internet Explorer eine bekannte kritische Schwachstelle auf, die bis heute nicht geschlossen wurde. Bereits am 03.06.14 meldete die Zero Day Initiative (ZDI), ein von HP betriebenes Sicherheitsunternehmen, den gefundenen Bug an Microsoft. Nach über 180 Tagen ohne erschienenen Patch wurde nun der Bug gemäß der Unternehmensrichtlinien offengelegt.
Durch die Schwachstelle soll es Angreifern möglich sein, beliebigen Schadcode im Browser auszuführen. Um die Rechte des angemeldeten Benutzers zu erreichen, reicht es, wenn der Benutzer auf eine präparierte Website zugreift. Hat der angemeldete Benutzer Administratorrechte, hat der Angreifer Vollzugriff auf den PC. Um sich vor der Lücke schützen zu können, sollten ActiveX Controls und Active Scripting bis auf weiteres deaktiviert werden. Dazu reicht es, die Sicherheitsstufe der Internet-Zone auf "hoch" zu stellen.
Welche Versionen des IE von der Lücke betroffen sind, ist bisher nicht bekannt. Microsoft hat bereits für den Dezember-Patchday Updates für Windows, Office und den Internet Explorer angekündigt. Ob in dem Zuge auch diese Schwachstelle behoben wird, ist noch unklar.
Quelle: ZDNet
Durch die Schwachstelle soll es Angreifern möglich sein, beliebigen Schadcode im Browser auszuführen. Um die Rechte des angemeldeten Benutzers zu erreichen, reicht es, wenn der Benutzer auf eine präparierte Website zugreift. Hat der angemeldete Benutzer Administratorrechte, hat der Angreifer Vollzugriff auf den PC. Um sich vor der Lücke schützen zu können, sollten ActiveX Controls und Active Scripting bis auf weiteres deaktiviert werden. Dazu reicht es, die Sicherheitsstufe der Internet-Zone auf "hoch" zu stellen.
Welche Versionen des IE von der Lücke betroffen sind, ist bisher nicht bekannt. Microsoft hat bereits für den Dezember-Patchday Updates für Windows, Office und den Internet Explorer angekündigt. Ob in dem Zuge auch diese Schwachstelle behoben wird, ist noch unklar.
Quelle: ZDNet