[Warning] "Zero-Day" Sicherheitslücke in Microsoft Internet Explorer
Robert Waldner
waldner at cert.at
Fri Dec 5 08:35:13 CET 2014
5. Dezember 2014
Beschreibung
Die "Zero-Day-Initiative" der Firma Tipping Point hat ein Advisory
veröffentlicht, in dem vor einer "Zero-Day"-Lücke (CVE-2014-8967) in
Microsoft Internet Explorer gewarnt wird:
http://zerodayinitiative.com/advisories/ZDI-14-403/
CVSS (Common Vulnerability Scoring System) Score: 6.8,
(AV:N/AC:M/Au:N/C:P/I:P/A:P).
Aktuell ist nicht bekannt, dass diese Schwachstelle in realen
Angriffen verwendet wird. Es ist aber anzunehmen, dass sich nach der
Veröffentlichung nun diverse Akteure darauf konzentrieren werden.
Auswirkungen
Um die Lücke auszunutzen, muss vom Benutzer eine entsprechend
präparierte Webseite oder Datei geöffnet werden. Links auf diese
können unter anderem per Spam-Mail verbreitet werden - es ist auch
denkbar, dass Seiten, die es Usern erlauben, eigenen Content zu
erstellen (etwa Blogs), mit entsprechenden Beiträgen präpariert
werden.
Ob ein Ausnutzen über die "Vorschau"-Funktionen von Microsoft
Outlook, Outlook Express und Windows Mail möglich ist, ist im Moment
nicht bekannt.
Da der Angreifer nach einem erfolgreichen Angriff prinzipiell
beliebigen Code mit den Rechten des angemeldeten Benutzers auf den
betroffenen Systemen ausführen kann, sind alle Daten auf diesen
Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch
ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen
Systeme gefährdet.
Betroffene Systeme
Nach den aktuell vorliegenden Informationen sind die Versionen 8, 9,
10 und 11 des Internet Explorers auf folgenden Betriebssystemen
betroffen:
* Windows Server 2003 und x64 Edition SP2
* Windows Vista und x64 Edition SP2
* Windows Server 2008 für 32-bit und x64-basierte Systeme SP2
* Windows 7 für 32-bit und x64-based Systeme SP1
* Windows Server 2008 R2 für Itanium-basierte Systems und
x64-basierte Systeme SP1
* Windows 8 and 8.1 für 32-bit und x64-based Systeme
* Windows Server 2012 und Windows Server 2012 R2
* Windows RT und Windows RT 8.1
Achtung - Windows XP
Wir empfehlen Nutzern, die immer noch Windows XP verwenden, ein
Upgrade auf aktuellere Versionen von Microsoft Windows oder andere
Betriebssysteme, und bis dahin zumindest den Einsatz alternativer
Browser (Mozilla Firefox, Google Chrome, Opera etc.).
Abhilfe
Sobald verfügbar, Upgrade auf entsprechend gefixte Versionen von
Microsoft Internet Explorer.
Wo möglich Einsatz alternativer Browser (etwa Mozilla Firefox,
Google Chrome, Opera), zumindest bis zum Vorliegen entsprechender
Patches für Internet Explorer.
Wo der Einsatz alternativer Browser nicht oder nur schwer möglich
ist, kann laut Informationen, die im Advisory der Zero-Day-Initiative
angeführt sind, mit folgenden Methoden ein Ausnutzen dieser Lücke
verhindert oder zumindest erschwert werden:
* Setzen der Sicherheitseinstellungen für "Internet" auf "hoch", um
Active Scripting (JavaScript) und ActiveX Controls in dieser Zone
zu deaktivieren. Dies kann Auswirkungen auf die Funktionalität
von Webseiten haben.
* Internet Explorer so zu konfigurieren, dass vor dem Ausführen von
Active Scripting-Komponenten (JavaScript) auf Webseiten beim
Benutzer nachgefragt wird.
* EMET (Enhanced Mitigation Experience Toolkit) aktivieren und für
Internet Explorer konfigurieren. Details dazu finden sich auf den
Webseiten von Microsoft, etwa hier:
http://support.microsoft.com/kb/2458544
Microsoft hat für den nächsten "Patch-Day" (Dienstag, 9. Dezember),
ein Update für eine Remote Code Execution-Lücke in Internet Explorer
angekündigt - es ist jedoch momentan nicht bekannt, ob das das
gegenständliche Problem (CVE-2014-8967) betrifft.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
Perma-Link
Diese Warnung ist auch als Webseite verfügbar:
https://cert.at/warnings/all/20141205.html
Etwaige Updates werden dort veröffentlicht, und sind auch via
RSS-/Atom-Feeds abrufbar:
https://cert.at/services/feeds/feeds.html
__________________________________________________________________
Informationsquelle(n):
Advisory der "Zero-Day-Initiative" (englisch)
http://zerodayinitiative.com/advisories/ZDI-14-403/
Vulnerability Alert von Cisco (englisch)
http://tools.cisco.com/security/center/viewAlert.x?alertId=36659
Common Vulnerability Scoring System Version 2 Calculator
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Mozilla Firefox
https://www.mozilla.org/en-US/firefox/new/
Google Chrome
http://www.google.com/chrome/
Opera
http://www.opera.com/
Microsoft Security Bulletin Advance Notification for December 2014
https://technet.microsoft.com/en-us/library/security/ms14-dec.aspx
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20141205/480bbf85/attachment.sig>
More information about the Warning
mailing list