Achtung Windows Phone:
4 ungepatchte Zero-Day-Lücken im IE

Gleich vier bislang noch nicht behobene Sicherheitslücken im Internet Explorer für Windows Phone hat die Zero Day Initiative (ZDI) in dieser Woche veröffentlicht. Nachdem die Schwachstellen bereits im vergangenen Jahr an Microsoft gemeldet wurden, zeigt die ZDI nun, wie die Exploits ausgenutzt werden können.

Nadine Dressler, 25.07.2015 11:08 Uhr

Sicherheit, Sicherheitslücken, schloss, Kette, Abus

John Dierckx / Flickr

Gegenüber dem Online-Magazin ThreatPost hat sich bereits ein Microsoft-Sprecher offiziell zu den Problemen des Browsers geäußert. Demnach seien dem Unternehmen die Schlupflöcher bekannt - was ja nicht verwunderlich ist, da die ZDI laut ihren eigenen Richtlinien alle potentiellen Schwachstelle sofort an die betroffenen Entwickler meldet. Aktuell sei aber laut Microsoft nicht von einer Gefahrenlage zu sprechen, denn "bisher wurden keine Angriffe über diese Schwachstellen entdeckt".

Microsoft beschwichtigt

"Wir überwachen weiterhin die Situation und werden beizeiten angemessene Schritte ergreifen, um unsere Kunden zu schützen", so der Microsoft-Sprecher gegenüber ThreatPost. Damit bezieht sich der Mitarbeiter auf die laut Microsoft geringe Wahrscheinlichkeit, dass alle nötigen Faktoren so zusammentreffen, dass ein Zugriff über die gemeldeten Zero-Day-Lücken tatsächlich möglich wird. Aufgrund der Veröffentlichung der Einfallstore durch die ZDI ist es nun aber ziemlich wahrscheinlich, dass Microsoft mit einem Update reagieren wird.

Die Zero-Day-Lücken

Es geht im ersten Exploit, ZDI-15-359, um grundlegende Probleme des IE Mobile im Umgang mit HTML-Tabellen. Dadurch wird es einen Angreifer ermöglicht, Schadcode einzuschleusen und auf dem Gerät des Nutzers auszuführen - allerdings ohne Rechteerhöhung. Dazu wird eine manipulierte Webseite oder ein manipuliertes Dokument genutzt, das der Windows-Phone-Besitzer zufällig oder durch eine Phishing-Email oder ähnliche so genannte Drive-by-Attacken erhält. Dieser Exploit wurde bereits beim jährlichen Mobile Pwn2Own-Hackercontest Ende 2014 vorgestellt.

Mehr dazu: Rückblick auf Pwn2Own 2014: IE viermal gehackt

Auch die drei anderen veröffentlichten Sicherheitslücken lassen eine Remotecodeausführung auf dem Smartphone zu. Jede Lücke befällt eine andere Komponente des Browsers, CAttrArray, CTreePos und CCurrentStyle, und ermöglicht die Einschleusung weiterer Schadsoftware. Die Einfallstore sind immer die gleichen - manipulierte Webseiten oder manipulierte Dokumente.

Siehe auch: Windows 10: Antivir-Hersteller Norton "warnt" vor Microsoft Edge

Download Windows 10 Mobile: Die neuen Hintergrundbilder

10 Gründe für Windows 10 - Microsoft Edge

Thema:

Windows 10 Mobile

Kommentieren35

Hinweis einsenden

Weitere Nachrichten zum Thema Microsoft warnt vor schwerer USB-Lücke in Windows 10 & CoPatch Day: Microsoft schließt mit 11 Updates vier kritische LückenKein Patch: Neue Zero Days ermöglichen Root-Zugang zu Apples OS XFlash-Player: Noch eine Zero-Day-Lücke wird bereits angegriffenWindows 8.1: Google veröffentlicht ungepatchten Zero-Day-ExploitZero Day-Lücke im Internet Explorer: CERT rät dringend zum Umstieg