[Warning] "Zero-Day" Sicherheitslücke in Microsoft Internet Explorer

Robert Waldner waldner at cert.at
Fri Dec 5 08:35:13 CET 2014 

5. Dezember 2014

Beschreibung

   Die "Zero-Day-Initiative" der Firma Tipping Point hat ein Advisory
   veröffentlicht, in dem vor einer "Zero-Day"-Lücke (CVE-2014-8967) in
   Microsoft Internet Explorer gewarnt wird:
   http://zerodayinitiative.com/advisories/ZDI-14-403/

   CVSS (Common Vulnerability Scoring System) Score: 6.8,
   (AV:N/AC:M/Au:N/C:P/I:P/A:P).

   Aktuell ist nicht bekannt, dass diese Schwachstelle in realen
   Angriffen verwendet wird. Es ist aber anzunehmen, dass sich nach der
   Veröffentlichung nun diverse Akteure darauf konzentrieren werden.

Auswirkungen

   Um die Lücke auszunutzen, muss vom Benutzer eine entsprechend
   präparierte Webseite oder Datei geöffnet werden. Links auf diese
   können unter anderem per Spam-Mail verbreitet werden - es ist auch
   denkbar, dass Seiten, die es Usern erlauben, eigenen Content zu
   erstellen (etwa Blogs), mit entsprechenden Beiträgen präpariert
   werden.

   Ob ein Ausnutzen über die "Vorschau"-Funktionen von Microsoft
   Outlook, Outlook Express und Windows Mail möglich ist, ist im Moment
   nicht bekannt.

   Da der Angreifer nach einem erfolgreichen Angriff prinzipiell
   beliebigen Code mit den Rechten des angemeldeten Benutzers auf den
   betroffenen Systemen ausführen kann, sind alle Daten auf diesen
   Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch
   ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen
   Systeme gefährdet.

Betroffene Systeme

   Nach den aktuell vorliegenden Informationen sind die Versionen 8, 9,
   10 und 11 des Internet Explorers auf folgenden Betriebssystemen
   betroffen:
     * Windows Server 2003 und x64 Edition SP2
     * Windows Vista und x64 Edition SP2
     * Windows Server 2008 für 32-bit und x64-basierte Systeme SP2
     * Windows 7 für 32-bit und x64-based Systeme SP1
     * Windows Server 2008 R2 für Itanium-basierte Systems und
       x64-basierte Systeme SP1
     * Windows 8 and 8.1 für 32-bit und x64-based Systeme
     * Windows Server 2012 und Windows Server 2012 R2
     * Windows RT und Windows RT 8.1

Achtung - Windows XP

   Wir empfehlen Nutzern, die immer noch Windows XP verwenden, ein
   Upgrade auf aktuellere Versionen von Microsoft Windows oder andere
   Betriebssysteme, und bis dahin zumindest den Einsatz alternativer
   Browser (Mozilla Firefox, Google Chrome, Opera etc.).

Abhilfe

   Sobald verfügbar, Upgrade auf entsprechend gefixte Versionen von
   Microsoft Internet Explorer.
   Wo möglich Einsatz alternativer Browser (etwa Mozilla Firefox,
   Google Chrome, Opera), zumindest bis zum Vorliegen entsprechender
   Patches für Internet Explorer.

   Wo der Einsatz alternativer Browser nicht oder nur schwer möglich
   ist, kann laut Informationen, die im Advisory der Zero-Day-Initiative
   angeführt sind, mit folgenden Methoden ein Ausnutzen dieser Lücke
   verhindert oder zumindest erschwert werden:
     * Setzen der Sicherheitseinstellungen für "Internet" auf "hoch", um
       Active Scripting (JavaScript) und ActiveX Controls in dieser Zone
       zu deaktivieren. Dies kann Auswirkungen auf die Funktionalität
       von Webseiten haben.
     * Internet Explorer so zu konfigurieren, dass vor dem Ausführen von
       Active Scripting-Komponenten (JavaScript) auf Webseiten beim
       Benutzer nachgefragt wird.
     * EMET (Enhanced Mitigation Experience Toolkit) aktivieren und für
       Internet Explorer konfigurieren. Details dazu finden sich auf den
       Webseiten von Microsoft, etwa hier:
       http://support.microsoft.com/kb/2458544

   Microsoft hat für den nächsten "Patch-Day" (Dienstag, 9. Dezember),
   ein Update für eine Remote Code Execution-Lücke in Internet Explorer
   angekündigt - es ist jedoch momentan nicht bekannt, ob das das
   gegenständliche Problem (CVE-2014-8967) betrifft.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.

Perma-Link
   Diese Warnung ist auch als Webseite verfügbar:
     https://cert.at/warnings/all/20141205.html
   Etwaige Updates werden dort veröffentlicht, und sind auch via
   RSS-/Atom-Feeds abrufbar:
     https://cert.at/services/feeds/feeds.html
     __________________________________________________________________

   Informationsquelle(n):

   Advisory der "Zero-Day-Initiative" (englisch)
     http://zerodayinitiative.com/advisories/ZDI-14-403/
   Vulnerability Alert von Cisco (englisch)
     http://tools.cisco.com/security/center/viewAlert.x?alertId=36659
   Common Vulnerability Scoring System Version 2 Calculator

http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:M/Au:N/C:P/I:P/A:P)
   Mozilla Firefox
     https://www.mozilla.org/en-US/firefox/new/
   Google Chrome
     http://www.google.com/chrome/
   Opera
     http://www.opera.com/
   Microsoft Security Bulletin Advance Notification for December 2014
     https://technet.microsoft.com/en-us/library/security/ms14-dec.aspx

-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20141205/480bbf85/attachment.sig>

More information about the Warning mailing list