Zero Day-Exploit: Internet Explorer 11-Problem für alle Windows-Nutzer

Microsoft, Apple, Iphone, Browser, iOS, Internet Explorer, Internet Explorer 10, IE10, iOS 11 Bildquelle: Microsoft
Ein Sicherheitsforscher hat eine Zero-Day-Schwachstelle im Internet Explorer 11 entdeckt, die auch für Anwender schädlich sein kann, wenn sie den IE 11 gar nicht verwenden. Es geht dabei im Grunde um das Handling von .MHT-Dateien für Hilfs-Komponenten, über die, wenn sie manipuliert sind, ein Angreifer Zugriff auf andere Systemdateien erhalten kann. Die Schwachstelle wurde bereits im März an Microsoft gemeldet - doch dort kannte man das Problem allem Anschein nach schon. Der Sicherheitsforscher John Page erhielt auf seine Übermittlung den Hinweis, dass diese Sicherheitslücke nicht mit einem (Notfall-)Patch geschlossen werden soll:

"Wir haben festgestellt, dass eine Lösung für dieses Problem in einer zukünftigen Version dieses Produkts oder dieser Dienstleistung in Betracht gezogen wird. Zu diesem Zeitpunkt werden wir keine laufenden Updates über den Status der Behebung dieses Problems bereitstellen, und wir haben diesen Fall abgeschlossen."

Es wird also eine Lösung kommen - nur wann, ist unklar. Dass man die Sicherheitslücke aber nicht auf die leichte Schulter nehmen sollte, erläutert Page unter anderem in einem kurzen YouTube-Video, in dem er sein Proof-of-Concept zeigt. Ein Angreifer könnte demnach mittels einer .MHT-Datei, die unbemerkt vom PC-Nutzer weitere Aktionen ausführt, Zugriff auf das System erhalten. Typischerweise werden solche Dateien per Spam-Mail oder über Webseiten verteilt.



Die eigentlich nötige Benutzerinteraktion wird dabei simuliert.

Laut Page erhalten Benutzer beim Instanziieren von ActiveX-Objekten wie Microsoft.XMLHTTP eine Sicherheitswarnung im IE und werden aufgefordert, blockierte Inhalte zu aktivieren. Diese Warnungen können aber durch die Manipulation der .MHT-Datei mit bösartigen xml Markup-Tags deaktiviert werden.

Betroffene Windows-Versionen

Page hat die Schwachstelle in der aktuellen Version des Internet Explorers 11 mit den neuesten Security-Patches sowohl für Windows 7, Windows 8.1 als auch für Windows 10 gezeigt.

Es reicht übrigens laut dem Kollegen Günter Born nicht, den Internet Explorer einfach zu löschen, da Windows weiterhin die Verknüpfung für das Öffnen bestimmter Dateitypen belässt und so die manipulierten Dateien weiterhin ihren Schaden ausüben können.

Download Avira Free Antivirus 2019 - Kostenloser Virenscanner Download Norton Security Deluxe - Umfangreiche Sicherheitssoftware Microsoft, Browser, Internet Explorer, Internet Explorer 10, IE10 Microsoft, Browser, Internet Explorer, Internet Explorer 10, IE10 Microsoft
2019-04-14T09:32:00+02:00
Diese Nachricht empfehlen
Kommentieren9
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Tipp einsenden