Microsoft warnt vor kritischer IE-Lücke

[pima]

Wer an den bevorstehenden Feiertagen mit dem Internet Explorer im Netz unterwegs ist, muss Vorsicht walten lassen: Durch eine kritische Sicherheitslücke im IE, für die seit Kurzem auch ein Exploit kursiert, kann man seinen Rechner beim Besuch einer verseuchten Webseite mit Schadcode infizieren. Jetzt warnt auch Microsoft in einem Advisory vor der Gefahr und bestätigt die Berichte, nach denen die Internet-Explorer-Versionen 6 bis 8 unter sämtlichen Windows-Ausgaben verwundbar sind.

Der Exploit nutzt eine Schwachstelle bei der Verarbeitung des @import-Tags in Cascading Style Sheets (CSS), um Datenausführungsverhinderung (DEP) und Adress Space Layout Randomisation (ASLR) zu überwinden. Als Workaround empfiehlt der Hersteller, den Prozess iexplore.exe mit dem kostenlosen Sicherheitstool EMET abzuhärten. Einen ausführlichen Hintergrundartikel finden Sie hierzu bei heise Security. Ein Patch ist derzeit in Arbeit, jedoch will sich Microsoft noch nicht festlegen, ob dieser außer der Reihe oder erst am nächsten Patchday erscheint.

Laut Microsoft kann der Schadcode unter Windows Vista und 7 nur mit eingeschränkten Rechten wüten, da der IE die Seiten hier standardmäßig im geschützten Modus ausführt. Ansonsten hat der Schädling zunächst die Rechte des angemeldeten Nutzers. Das ist vor allem bei Windows XP ein Problem, da die Anwender hier häufig dauerhaft mit Admin-Rechten angemeldet sind. Unter Windows Server 2003 und 2008 werden Internetseiten in der Standardkonfiguration mit der höchsten Sicherheisstufe geladen, was die Angriffsfläche laut Microsoft zumindest reduzieren soll.

Mailclients wie Outlook, Outlook Express und Windows Mail, die den IE zur Darstellung von HTML-Mails nutzen, verzichten zunächst auf das Ausführen von JavaScript und ActiveX-Controls. Das soll es Angreifern erschweren, Schadcode auf dem System auszuführen. Da man die Lücke jedoch über CSS ausnutzen kann, stellt sich die Frage, ob diese Information die Anwender nicht in falscher Sicherheit wiegt. Auch andere Programme, welche die IE-Komponente nutzen, dürften auf diesem Wege angreifbar sein.

Quelle

[meckl]

Hier ist eine kleine Demo von Offensive-Security:
-> Internet Explorer CSS 0day on Windows 7

-> Internet Explorer 8 CSS Parser Exploit
-> http://www.exploit-db.com/exploits/15708/
-> https://www.metasploit.com/redmine/p..._css_import.rb
-> http://www.vupen.com/english/advisories/2010/3156
-> https://www.microsoft.com/technet/se...y/2488013.mspx
-> http://seclists.org/fulldisclosure/2010/Dec/110
-> http://community.websense.com/blogs/...-explorer.aspx