ActiveX-Lücke
Weitere IE-Schwachstelle veröffentlicht
Neben dem als kritisch eingestuften CSS-Fehler in allen Versionen des Internet Explorer hat dessen Entdecker eine weitere 0-Day-Lücke im IE veröffentlicht. Sie betrifft eine ActiveX-Komponente, die jedoch standardmäßig nicht installiert ist.
Kurz vor Weihnachten hat ein chinesischer Sicherheitsforscher zwei Sicherheitslücken im Internet Explorer veröffentlicht, gegen die es von Microsoft bislang noch kein Update gibt. Über die von Microsoft als kritisch eingestufte CSS-Lücke haben wir bereits berichtet. Eine zweite Schwachstelle steckt in einem ActiveX-Steuerelement und ermöglicht es Code einzuschleusen.
Die wie die CSS-Lücke auf der Website WooYun.org mitsamt Demo-Exploit veröffentlichte Schwachstelle ist nur ausnutzbar, wenn die Microsoft WMI Administrative Tools (WMI: Windows Management Instrumentation) installiert sind. Darin ist die anfällige ActiveX-Komponente "WBEMSingleView.ocx" enthalten. Dieser WMI Object Viewer enthält die Funktionen AddContextRef() und ReleaseContext(), denen ein Zeiger auf ein Objekt übergeben werden kann, was zur Ausführung von eingeschleustem Code führt.
Die Lücke kann ausgenutzt werden, indem ein Angreifer einen Benutzer, in dessen Internet Explorer diese ActiveX-Komponente installiert ist, auf eine speziell präparierte Web-Seite lockt. Der Demo-Exploit öffnet den Windows Taschenrechner. Abhilfe schafft das Setzen des Kill-Bit für diese Komponente, deren CLSID "2745E5F5-D234-11D0-847A-00C04FD7BB08" lautet.
Eine Stellungnahme von Microsoft zur dieser zweiten Sicherheitslücke gibt es noch nicht.
