775855

Wieder eine neue IE-Lücke aufgedeckt

07.01.2011 | 14:58 Uhr |

Ein Sicherheitsforscher hat ein Fuzzing-Tool veröffentlicht, mit dem er verschiedene Browser-Schwachstellen entdeckt haben will. Darunter ist auch eine bis dahin nicht bekannte Lücke im Internet Explorer.

Der polnische Sicherheitsforscher Michal Zalewski hat ein Programm entwickelt und nun veröffentlicht, mit dem er Browser-Lücken in Firefox, Opera, Internet Explorer sowie in Webkit-basierten Programmen wie Safari und Chrome aufgespürt hat. Eine von Zalewski aufgedeckte IE-Lücke ist nun von einem unabhängigen Sicherheitsunternehmen bestätigt worden.

Michal Zalewski, Sicherheitsfachmann in Diensten von Google, hatte sein Fuzzing-Tool "cross_fuzz" bereits im Juli 2010 zusammen mit einigen Befunden an Microsoft und andere Browser-Hersteller geschickt. Nach seinen Angaben haben Mozilla und Opera seitdem auch bereits von ihm gemeldete Schwachstellen beseitigt. Nur von Microsoft habe er nichts mehr gehört.

Das hat sich erst kurz vor Weihnachten geändert, als Zalewski eine neue Version seines Programms zusammen mit Informationen über eine neue IE-Lücke veröffentlichte. Microsoft bat im Vorfeld darum das Tool auf unbestimmte Zeit zurück zu halten. Doch da Zalewski Grund zu der Annahme hatte, chinesische Hacker hätten die IE-Lücke bereits entdeckt, lehnte er ab.

Das französische Sicherheitsunternehmen Vupen hat inzwischen bestätigt, dass die von Zalewski entdeckte Schwachstelle im Internet Explorer geeignet ist Drive-by Angriffe auszuführen. Vupen-Fachleute haben den Fehler in der Programmbibliothek mshtml.dll ausgemacht. Einen ähnlichen Fehler in dieser DLL hatte Microsoft beim Patch Day im letzten Dezember behoben.

Microsofts Ankündigung für den nächsten Patch Day am 11. Januar stellt ausdrücklich keinerlei Sicherheits-Updates in Aussicht, die diese und andere bereits bekannten Schwachstellen im IE und in Windows beheben würden.

0 Kommentare zu diesem Artikel
775855