Alert! Zero-Day-Exploit für den Internet Explorer

Microsoft hat eine Sicherheitslücke im Internet Explorer unter Windows XP bestätigt, durch die Angreifer ein System kompromittieren können. Die Lücke beruht laut Bericht auf der Möglichkeit der VBScript-Funktion MsgBox, beliebige Hilfe-Dateien (.hlp) von Netzwerkfreigaben nachzuladen und mit darin enthaltenen Makros beliebige Befehle auszuführen. Allerdings ist ein wenig Nutzerinteraktion notwendig: Der Anwender muss zur Bestätigung die F1-Taste drücken. Ob dies im Zweifel einen Anwender in der Praxis vor einer Infektion seines PCs bewahrt, ist fraglich – der Text der kleinen Message-Box könnte ihn durchaus dazu verleiten.

In einem kurzen Test der heise-Security-Redaktion öffnete ein Demo-Exploit auf einem vollständig gepatchten "Windows XP SP3"-System mit Internet Explorer 8 den Taschenrechner. Kriminelle könnten mit anderen Befehlen Schadcode nachladen und starten. Damit der Exploit funktioniert, muss jedoch der Zugriff auf das vom Angreifer kontrollierte SMB-Share möglich sein. In Unternehmensnetzen blockiert eine Firewall ausgehende SMB-Zugriffe oftmals, sodass der Exploit dort nicht funktioniert.

Die Lücke soll sich unter Windows XP auch mit Version 6 und 7 des Internet Explorer ausnutzen lassen. Unter Windows 7 und Vista tritt das Problem nicht auf. Microsoft untersucht das Problem und will anschließend angemessen reagieren – ob damit ein Patch gemeint ist, lassen die Redmonder offen. Abhilfe schafft, beim Browsen nicht die F1-Taste zu drücken oder Active Scripting zu deaktivieren.

Siehe dazu auch:

• Invoke winhlp32.exe from Internet Explorer 8,7,6, Bericht von Maurycy Prodeus

(dab)