[Warning] Schwachstelle in Microsoft Internet Explorer - Remote Code Execution
Otmar Lendl
lendl at cert.at
Wed Dec 22 16:12:40 CET 2010
22. Dezember 2010
Die Sicherheitslücke ermöglicht Remote Code Execution - CERT.at ersucht
daher um Beachtung der folgenden Meldung.
Beschreibung
Bereits Anfang Dezember wurde ein Fehler in der CSS-Verarbeitung im
Internet Explorer gemeldet, damals waren aber die Details noch unter
Verschluss. Am 20. 12. wurde ein Demo-Exploit in das Metasploit
Framework aufgenommen, es ist daher nun damit zu rechnen, dass dieser
Fehler aktiv ausgenützt wird.
Von Seiten Microsofts liegt noch keine Stellungnahme vor.
Auswirkungen
Dieses Problem kann bereits durch bloßes Aufrufen einer entsprechend
präparierten Webseite ausgenützt werden.
Da der Angreifer dadurch prinzipiell beliebigen Code auf betroffenen
Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie
potentiell alle durch diese erreichbaren (etwa durch ausspionierte
Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme
gefährdet.
Es ist zu erwarten, dass diese Schwachstelle schon bald in großem Stil
ausgenützt wird, und Links auf entsprechend präparierte Webseiten etwa
per Spam-Mail verteilt werden.
Betroffene Systeme
Alle Benutzer von Microsoft Internet Explorer der folgenden Versionen:
* Internet Explorer 6
* Internet Explorer 7
* Internet Explorer 8
auf den Platformen Windows XP, Vista, 7, Server 2003 und Server 2008.
Abhilfe
Ein Patch seitens Microsoft steht noch nicht zur Verfügung, daher kann
momentan nur versucht werden, die Auswirkungen zu begrenzen, oder einen
alternativen Browser (zB Mozilla Firefox [1], Opera [2], Google
Chrome [3]) zu verwenden.
Folgende Security-Features erschweren das Ausnützen des Fehlers. es ist
jedoch zu beachten, dass auch diese noch keinen vollständigen Schutz
vor dieser Lücke bieten:
* Data Execution Prevention (DEP), per Default in Internet Explorer 8
auf Windows XP Service Pack 3, Windows Vista Service Pack 1,
Windows Vista Service Pack 2 und Windows 7 aktiv
* Protected Mode in Internet Explorer auf Windows Vista und Windows
7, siehe
http://windows.microsoft.com/en-US/windows-vista/What-does-Inter
net-Explorer-protected-mode-do, per Default für die "Internet Zone"
aktiv.
Das deutsche Buerger-CERT [5] empfiehlt daher die Internet Explorer
Sicherheitseinstellungen so hoch zu setzen, dass ActiveX Controls und
Active Scripting nicht für alle Webseiten aktiv sind.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
1. http://www.mozilla.com/en-US/firefox/
2. http://www.opera.com/
3. http://www.google.com/chrome
4.
http://windows.microsoft.com/en-US/windows-vista/What-does-Internet-Explorer-protected-mode-do
5.
http://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2f0pldS5QUtm6rU2w%253d%253d
6. http://www.kb.cert.org/vuls/id/634956
7. http://seclists.org/fulldisclosure/2010/Dec/110
8.
http://threatpost.com/en_us/blogs/new-remotely-exploitable-bug-found-internet-explorer-121010
9. http://www.breakingpointsystems.com/community/blog/ie-vulnerability/
10.
https://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/browser/ms11_xxx_ie_css_import.rb
11.
http://www.computerworld.com/s/article/9202001/Researchers_reveal_attack_code_for_new_IE_zero_day
--
// Otmar Lendl <lendl at cert.at>, +43 1 5056416 - 711
// CERT.at -- http://www.cert.at/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 196 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20101222/9eb22448/attachment.sig>
More information about the Warning
mailing list