Wieder einmal wurde eine schwerwiegende Sicherheitslücke in Microsofts Internet Explorer entdeckt, die von der Zero Day Initiative (ZDI) veröffentlicht wurde. Durch diese Schwachstelle können potenzielle Angreifer die Kontrolle über das System erlangen. Bislang sind allerdings keine kriminellen Ausnutzungsversuche bekannt. Welche Versionen des Internet Explorers betroffen sind, ist noch nicht bekannt.
Bereits im Juni dieses Jahres wurde die Lücke (CVE-2014-8967) von Arthur Gerkis gefunden und dem Team von Microsoft gemeldet. Die ZDI hat mit deren Offenlegung entsprechend der Vereinbarung zu verantwortungsvollen Veröffentlichung (Responsible Disclosure) sechs Monate lang gewartet, um Microsoft Zeit zu lassen, das Problem zu beheben. Das ist bislang allerdings nicht geschehen.
Über eine infizierte Webseite oder eine schädliche Datei gelangt der Schadcode auf das entsprechende System. Laut ZDI sind die Angreifer in der Lage, durch das Hinzufügen einer CSS-Zeile und die Ausführung nicht näher benannter Manipulationen, die Verweildauer von HTML-Elementen im Programmspeicher zu ändern. Dadurch kann ein Schadcode im Kontext eines aktuellen Prozesses ausgeführt werden, ohne dass es der Internet Explorer mitbekommt, sodass ein Angreifer einen beliebigen Code mit den Rechten des angemeldeten Nutzers auf dem betroffenen System ausführen kann.
Anwendern wird geraten, die Sicherheitsstufe der Internet Zone in den Internetoptionen unter dem Reiter Sicherheit auf „hoch“ zu setzen. Hierdurch wird die Ausführung von aktiven Inhalten wie Skripts oder ActiveX-Controls blockiert. Alternativ kann der Nutzer die Option „Stufe Anpassen“ wählen, sodass er der Ausführung dieser Inhalte immer erst zustimmen muss. Zusätzlich wird Anwendern empfohlen, Microsofts kostenloses Sicherheitstool EMET zu installieren.
Laut ZDI laufen Internet Explorer auf Windows Servern mit genügend Einschränkungen, um einen Angriff zu verhindern. Auch über HTML-Mails lasse sich die Schwachstelle nur schwer ausnutzen, da Microsoft Outlook, Microsoft Outlook Express sowie Windows Mail diese nur im eingeschränkten Modus öffnen.
Im Laufe dieses Tages wird Microsoft seine Dezember-Updates veröffentlichen. Wie aus einer Ankündigung hervorgeht, wird dieses insgesamt sieben Patches enthalten, von denen drei als kritisch und vier als wichtig eingestuft werden. Bekannt ist, dass eines der Updates den Internet Explorer betrifft. Ob hiermit die von der ZDI veröffentlichte Sicherheitslücke behoben wird, bleibt abzuwarten.
[Update 12.12.2014: Offensichtlich wurde die Sicherheitslücke durch den Dezmeber-Patch von Microsoft nicht behoben. Für Nutzer des Internet Explorers ist also weiterhin Vorsicht geboten.]