236419

Weitere Sicherheitsprobleme im IE

26.01.2010 | 15:59 Uhr |

Ein Sicherheitsforscher will in Kürze eine Sicherheitslücke im Internet Explorer veröffentlichen, die Microsoft bereits zweimal versucht haben soll zu schließen. Doch dicht ist sie offenbar immer noch nicht.

Microsoft hat in der letzten Woche außer der Reihe ein umfangreiches Sicherheits-Update für den Internet Explorer (IE) bereit gestellt. Doch damit sind die Probleme mit Microsofts Browser nicht alle ausgeräumt. Ein Sicherheitsforscher will in der kommenden Woche eine weitere Schwachstelle offen legen, an deren Beseitigung Microsoft bereits seit zwei Jahren scheitert.

Jorge Luis Alvarez Medina, Sicherheitsberater bei Core Security Technologies , will am 3. Februar auf der Sicherheitskonferenz Black Hat DC 2010 in Arlington, nahe der Bundeshauptstadt Washington, einen Vortrag über eine Schwachstelle im IE halten. Unter dem Titel "Internet Explorer turns your personal computer into a public file server" will Medina demonstrieren, wie ein Angreifer lokale Dateien auf dem PC eines Opfers auslesen und Informationen stehlen kann.

Im Grunde handele es sich, soviel verrät Medina vorab, nicht um eine einzelne Lücke sondern um eine Kombination aus mehreren unsicheren Funktionen des IE. Medina will einen Demo-Exploit vorstellen und veröffentlichen. Betroffen sollen demnach alle IE-Versionen unter allen Windows-Ausgaben seit NT sein, einschließlich IE 8 unter Windows 7.

Core Security hat Microsoft bereits im Jahr 2008 über dieses Angriffsszenario informiert. Microsoft hat in den Jahren 2008 ( Security Bulletin MS08-048 ) und 2009 ( MS09-019 ) Sicherheits-Updates für den IE bereit gestellt, die jedoch nach Angabe von Medina zu kurz greifen.

Da Microsoft das für den Patch Day am 9. Februar vorgesehene Sicherheits-Update bereits am 21. Januar veröffentlicht hat, ist fraglich, ob es so kurzfristig ein weiteres Update bereit stellen wird.

0 Kommentare zu diesem Artikel
236419