18360

IE-Exploit im Web versteckt

08.05.2008 | 15:41 Uhr |

Ein israelischer Sicherheitsforscher begeht den 60. Geburtstag des Staates Israel mit einer Art Schatzsuche im Web. Er hat einen Exploit für den Internet Explorer irgendwo in seinem Blog versteckt.

Aviv Raff, ein israelischer Sicherheitsforscher, hat Exploit-Code für eine bislang unbekannte Sicherheitslücke im Internet Explorer veröffentlicht. Er sagt allerdings nicht, wo er genau zu finden ist. Der Code steckt irgendwo in Raffs Blog , in dem der Israeli in den kommenden Tagen weitere Hinweise liefern will. Seine Online-Schatzsuche ist von einer Tradition in Israel inspiriert. Ähnlich unserer Eiersuche zu Ostern, werden solche Spiele am israelischen Unabhängigkeitstag gespielt - und der fällt in diesem Jahr auf den 8. Mai.

Der Angriff nutzt eine Schwachstelle in einer nicht näher bezeichneten Funktionalität des IE7 und IE8. Beim Besuch einer entsprechend präparierten Seite mit dem anfälligen Browser wird nach Angabe von Aviv Raff der Windows Taschenrechner (calc.exe) zweimal gestartet. Ein böswilliger Angreifer könnte diese Routine durch eine weitaus schädlichere ersetzen.

Aviv Raff hat Microsoft nach eigenem Bekunden einen Tag vor der Veröffentlichung über seine Entdeckung informiert. Von Microsofts bevorzugter "verantwortungsvoller Offenlegung" (responsible disclosure) hält er offenbar nichts. Bei letzten Mal, als er eine Sicherheitslücke auf diesem Weg an Microsoft gemeldet habe, hätte es sechs Monate gedauert, bis der Hersteller eine Zeile Code korrigiert habe.

Demjenigen, der den Schatz zuerst findet und seine Anwendung erläutern kann, winkt allerdings kein geldwerter Hauptgewinn, nur Ruhm und Ehre. Aviv Raff will allerdings noch eine Freikarte für eine Sicherheitskonferenz in Israel dazu packen. Am kommenden Mittwoch will Raff die Auflösung und die Details zum Exploit liefern.

0 Kommentare zu diesem Artikel
18360