heise online › News › 2008 › KW 51 › Microsoft schließt Zero-Day-Lücke im Internet Explorer
17.12.2008 19:57
Microsoft schließt Zero-Day-Lücke im Internet Explorer
Microsoft hat wie angekündigt das Sicherheits-Update zum Schließen der Zero-Day-Lücke außerhalb der Reihe veröffentlicht. Der Patch soll die Lücke für alle Versionen des Internet Explorer 5.01 bis 7 schließen und steht für alle verfügbaren Windows-Versionen zur Verfügung. Auch die Beta 2 der Version 8 ist von dem Sicherheitsproblem betroffen, für sie steht ebenfalls ein Update bereit.
In allen Fällen sollten Anwender nicht zögern, das Update zu installieren. IE-Nutzer, die das automatische Update aus bestimmten Gründen deaktiviert haben, sollten dies wieder einschalten oder die Patches manuell herunterladen. Im Security Bulletin MS08-078 sind alle erforderlichen Links aufgeführt.
Mit dem Patch sollten Anwender zumindest vor den aktuell kursierenden Exploits geschützt sein, die derzeit auf diversen Webseiten zu finden sind. Zumindest funktionierten in einem Kurztest von heise Security mehrere verbreitete Exploits nach der Installation des Patches nicht mehr. Zwar handelt es sich bei den betroffenen Web-Sites meist um Porno-Seiten, allerdings hat es auch schon seriöse Seiten getroffen. So wurde etwa Berichten zufolge die Webseite des Anbieters von Mainboards Abit durch SQL-Injection infiziert.
Die Lücke im Internet Explorer beruht auf einem Problem im Data Binding, sodass unter Umständen ein Objekt freigegeben wird, ohne dass die dazugehörige Arraylänge aktualisiert wird. Damit ist der Zugriff auf den Speicherplatz des gelöschten Objekts möglich, was sich zum Einschleusen und ausführen von Code ausnutzen lässt. Dies lässt sich nicht nur durch fehlerhafte SPAN-Tags in XML-Dokumenten ausnutzen, wie ursprünglich angenommen wurde.
Schon im Oktober musste Microsoft eine kritische Lücke im Server-Dienst außer der Reihe patchen. Für die bekannten Lücken in Wordpad und Microsofts SQL-Server 2000 und 2005 gibt es indes keinen Patch, obwohl zumindest die in Wordpad bereits ausgenutzt wird.
Siehe dazu auch:
- Microsoft Security Bulletin MS08-078 -Sicherheitsupdate für Microsoft Internet Explorer (960714), Beschreibung von Microsoft
- Extra-Patch für Internet Explorer, auf heise Security
- Zero-Day-Exploit für Internet Explorer breitet sich aus, auf heise Security
- Auch Internet Explorer 6 und 8 von Zero-Day-Lücke betroffen, Bericht auf heise Security
- Zero-Day-Lücke im Internet Explorer 7 wird vermutlich seit Oktober ausgenutzt, Bericht auf heise Security
- Acht Update-Pakete und zwei Zero-Day-Exploits zum Microsoft-Patchday, Bericht auf heise Security
(Daniel Bachfeld)
/
(dab)
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Themen-Forum Schwachstellen
English version: Microsoft closes zero day hole in Internet Explorer
heise Security
Spionage auf Blackberry-Geräten
Der Sicherheitsdienstleister SMobile hat untersucht, wie effektiv die Sicherheitsfunktionen arbeiten und wie aussagekräftig Warnungen sind, damit ein Anwender eine richtige Entscheidung treffen kann.
mehr…
Kaputt gekürzt
Beim Klick auf die Kurz-URLs von Bit.ly & Co weiß man nicht wo man landet. Die nächste Generation geht sogar noch einen Schritt weiter.
mehr…
SSL für lau
Der israelische Anbieter StartSSL bietet kostenlose SSL-Serverzertifikate an, die immerhin ein Jahr gültig sind. Der Artikel zeigt, wie man ein Zertifikat für seine Domain dort beantragt und im Server installiert.
mehr…
Alerts
- Weiterhin Lücken trotz Microsofts Riesen-Patch-Serie
- Kritische Lücke in Novell NetStorage
- Schwachstelle in Samba ermöglicht Zugriff auf Dateien [Update]
- Oracle patcht außer der Reihe
- Microsoft bestätigt neue Lücke im Internet Explorer [Update]
News
ONLINE MARKT
Werbung
