collombo
MyBoerse.bz Pro Member
0-Day-Lücke im Internet Explorer !
Tipping Points "Zero Day Initiative" warnt vor einer 0-Day-Lücke (CVE-2014-8967) in Microsofts Internet Explorer.
Die seit Juni 2014 bekannte Schwachstelle eignet sich zum Einschleusen von Schadcode, allerdings muss der Benutzer zuvor eine bösartige Webseite aufrufen oder eine manipulierte Datei öffnen.
Der Fehler steckt in der Verarbeitung von CSS-Elementen.
Mit Hilfe gezielter Manipulationen kann ein Angreifer ein Objekt aus dem Speicher löschen, obwohl es vom Internet Explorer noch verwendet wird.
Gelingt es dem Angreifer dabei, seinen Code an der richtigen Stelle im Arbeitsspeicher zu platzieren, wird dieser im Sicherheitskontext des Benutzers ausgeführt.
Da man sich nie sicher sein kann, ob eine angesteuerte Webseite harmlos ist, empfiehlt sich das Ausweichen auf einen anderen Internetbrowser.
Alternativ kann man die ActiveX Controls und Active Scripting deaktivieren oder das "Enhanced Mitigation Experience Toolkit" (EMET) installieren, um das Risiko eines Angriffs einzuschränken.
Interessant ist auch der Umstand, dass Microsoft bereits am 3. Juni 2014 über diese Sicherheitslücke in Kenntnis gesetzt wurde und den Fehler noch am selben Tag nachvollziehen konnte.
Dennoch gibt es auch sechs Monate später noch immer keinen Patch und nicht einmal die Ankündigung eines solchen.
Tipping Points "Zero Day Initiative" warnt vor einer 0-Day-Lücke (CVE-2014-8967) in Microsofts Internet Explorer.
Die seit Juni 2014 bekannte Schwachstelle eignet sich zum Einschleusen von Schadcode, allerdings muss der Benutzer zuvor eine bösartige Webseite aufrufen oder eine manipulierte Datei öffnen.
Der Fehler steckt in der Verarbeitung von CSS-Elementen.
Mit Hilfe gezielter Manipulationen kann ein Angreifer ein Objekt aus dem Speicher löschen, obwohl es vom Internet Explorer noch verwendet wird.
Gelingt es dem Angreifer dabei, seinen Code an der richtigen Stelle im Arbeitsspeicher zu platzieren, wird dieser im Sicherheitskontext des Benutzers ausgeführt.
Da man sich nie sicher sein kann, ob eine angesteuerte Webseite harmlos ist, empfiehlt sich das Ausweichen auf einen anderen Internetbrowser.
Alternativ kann man die ActiveX Controls und Active Scripting deaktivieren oder das "Enhanced Mitigation Experience Toolkit" (EMET) installieren, um das Risiko eines Angriffs einzuschränken.
Interessant ist auch der Umstand, dass Microsoft bereits am 3. Juni 2014 über diese Sicherheitslücke in Kenntnis gesetzt wurde und den Fehler noch am selben Tag nachvollziehen konnte.
Dennoch gibt es auch sechs Monate später noch immer keinen Patch und nicht einmal die Ankündigung eines solchen.
