[Warning] Kritische Sicherheitslücke im Internet Explorer erlaubt remote code execution

L. Aaron Kaplan kaplan at cert.at
Fri Dec 12 15:19:29 CET 2008


Kritische Sicherheitslücke im Internet Explorer erlaubt remote code
execution

   12. Dezember 2008

   Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um
   Beachtung der folgenden Meldung:

Beschreibung

   In Versionen des Internet Explorers bis einschliesslich Beta 8
   existiert eine Sicherheitslücke beim Parsen von XML Texten, die dazu
   führen kann, daß beliebiger Code beim Besuch von präparierten Webseiten
   mit den Rechten des angemeldeten Benutzers ausgeführt wird
   (CVE-2008-4844) und die Kontrolle über den Rechner erlangt werden kann.
   Microsoft hat hierzu eine [10]Warnung herausgegeben.

Einschätzung

   Risiko: steigend
   Potential: sehr hoch

Hintergrund und Dimension

   Eine Schwachstelle im Verarbeiten von XML Texten erlaubt es einem
   Angreifer, Code in den Rechner einzuschleusen. Sobald ein Benutzer auf
   eine manipulierte Webseite geht, wird ohne Vorwarnung der Schadcode
   durch die bekannt gewordene Lücke im Internet Explorer auf dem Rechner
   des Opfers ausgeführt. Meist wird dabei als zweiter Schritt andere
   Schadsoftware nachgeladen.

   CERT.at weist darauf hin, dass bei ähnlichen Schwachstellen in der
   Vergangenheit die Angreifer auf verschiedenen Wegen versucht haben,
   Nutzer auf ihre Seiten zu locken. Weiters wurde verstärkt versucht,
   über Schwachstellen in populären seriösen Webseiten (etwa per
   SQL-Injection oder Cross-Site Scripting) entsprechende Code-Fragmente
   einzubauen.

   Obwohl die Sicherheitslücke gestern schon bekannt war, hat sich CERT.at
   entschlossen, gestern noch keine Warnung herauszugeben da nach allen
   bekannten Analysen nur chinesische Webseiten betroffen waren. Es wurde
   hierbei nur ein Gamekeylogger installiert. Durch das Auftauchen des
   Codes auf [11]milw0rm.com sieht CERT.at allerdings die Gefährdung akut
   gesteigert. Wir erwarten in Zukunft somit Attacken auch ausserhalb
   Chinas.

Auswirkungen

   Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen
   ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell
   alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und
   anderen Systeme gefährdet.

Betroffene Systeme

   Alle üblicherweise verwendete Versionen des Internet Explorers

Abhilfe

   Es wird empfohlen, die Sicherheitsstufe im Internet Explorer auf "Hoch"
   zu setzen und die Schritte in der Microsoft Warnung zu befolgen. Da
   dies allerdings die Bedienbarkeit bestehender Webseiten, die Javascript
   verwenden, massiv beeinträchtigen kann, empfiehlt CERT.at bis zur
   Bereitstellung eines Patches seitens Microsoft, alternative Browser zu
   verwenden.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall Software
   installiert zu haben und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Microsoft Warnung
   http://www.microsoft.com/technet/security/advisory/961051.mspx
   ISC Internet Storm Center SQL Injection code
   http://isc.sans.org/diary.html?storyid=5464
   ISC Internet Storm Center SQL IE6 und IE8 betroffen
   http://isc.sans.org/diary.html?storyid=5470
     __________________________________________________________________


References

  10. http://www.microsoft.com/technet/security/advisory/961051.mspx
  11. http://www.milw0rm.com/
  12. http://www.microsoft.com/technet/security/advisory/961051.mspx
  13. http://isc.sans.org/diary.html?storyid=5464
  14. http://isc.sans.org/diary.html?storyid=5470



-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 260 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20081212/e75fa0f2/attachment.sig>


More information about the Warning mailing list