Achtung Windows Phone: 4 ungepatchte Zero-Day-Lücken im IE

Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr
Gleich vier bislang noch nicht behobene Sicherheitslücken im Internet Explorer für Windows Phone hat die Zero Day Initiative (ZDI) in dieser Woche veröffentlicht. Nachdem die Schwachstellen bereits im vergangenen Jahr an Microsoft gemeldet wurden, zeigt die ZDI nun, wie die Exploits ausgenutzt werden können.
Gegenüber dem Online-Magazin ThreatPost hat sich bereits ein Microsoft-Sprecher offiziell zu den Problemen des Browsers geäußert. Demnach seien dem Unternehmen die Schlupflöcher bekannt - was ja nicht verwunderlich ist, da die ZDI laut ihren eigenen Richtlinien alle potentiellen Schwachstelle sofort an die betroffenen Entwickler meldet. Aktuell sei aber laut Microsoft nicht von einer Gefahrenlage zu sprechen, denn "bisher wurden keine Angriffe über diese Schwachstellen entdeckt".

Microsoft beschwichtigt

"Wir überwachen weiterhin die Situation und werden beizeiten angemessene Schritte ergreifen, um unsere Kunden zu schützen", so der Microsoft-Sprecher gegenüber ThreatPost. Damit bezieht sich der Mitarbeiter auf die laut Microsoft geringe Wahrscheinlichkeit, dass alle nötigen Faktoren so zusammentreffen, dass ein Zugriff über die gemeldeten Zero-Day-Lücken tatsächlich möglich wird. Aufgrund der Veröffentlichung der Einfallstore durch die ZDI ist es nun aber ziemlich wahrscheinlich, dass Microsoft mit einem Update reagieren wird.

Die Zero-Day-Lücken

Es geht im ersten Exploit, ZDI-15-359, um grundlegende Probleme des IE Mobile im Umgang mit HTML-Tabellen. Dadurch wird es einen Angreifer ermöglicht, Schadcode einzuschleusen und auf dem Gerät des Nutzers auszuführen - allerdings ohne Rechteerhöhung. Dazu wird eine manipulierte Webseite oder ein manipuliertes Dokument genutzt, das der Windows-Phone-Besitzer zufällig oder durch eine Phishing-Email oder ähnliche so genannte Drive-by-Attacken erhält. Dieser Exploit wurde bereits beim jährlichen Mobile Pwn2Own-Hackercontest Ende 2014 vorgestellt.

Mehr dazu: Rückblick auf Pwn2Own 2014: IE viermal gehackt

Auch die drei anderen veröffentlichten Sicherheitslücken lassen eine Remotecodeausführung auf dem Smartphone zu. Jede Lücke befällt eine andere Komponente des Browsers, CAttrArray, CTreePos und CCurrentStyle, und ermöglicht die Einschleusung weiterer Schadsoftware. Die Einfallstore sind immer die gleichen - manipulierte Webseiten oder manipulierte Dokumente.

Siehe auch: Windows 10: Antivir-Hersteller Norton "warnt" vor Microsoft Edge

Download
Windows 10 Mobile: Die neuen Hintergrundbilder
Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr
Mehr zum Thema: Windows 10 Mobile
Diese Nachricht empfehlen
Kommentieren35
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 09:55 Uhr Personalausweis Krankenkassenkarte Lesegerät HBCI Online Banking Sicherheitszutritt Kontaktlos SCM SDI011 BSI zertifiziert
Personalausweis Krankenkassenkarte Lesegerät HBCI Online Banking Sicherheitszutritt Kontaktlos SCM SDI011 BSI zertifiziert
Original Amazon-Preis
38,99
Im Preisvergleich ab
?
Blitzangebot-Preis
23,00
Ersparnis zu Amazon 41% oder 15,99
Nur bei Amazon erhältlich

Beliebtes Windows Phone

Beiträge aus dem Forum

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden