[Warning] Kritische Sicherheitslücke im Internet Explorer erlaubt remote code execution
L. Aaron Kaplan
kaplan at cert.at
Fri Dec 12 15:19:29 CET 2008
Kritische Sicherheitslücke im Internet Explorer erlaubt remote code
execution
12. Dezember 2008
Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um
Beachtung der folgenden Meldung:
Beschreibung
In Versionen des Internet Explorers bis einschliesslich Beta 8
existiert eine Sicherheitslücke beim Parsen von XML Texten, die dazu
führen kann, daß beliebiger Code beim Besuch von präparierten Webseiten
mit den Rechten des angemeldeten Benutzers ausgeführt wird
(CVE-2008-4844) und die Kontrolle über den Rechner erlangt werden kann.
Microsoft hat hierzu eine [10]Warnung herausgegeben.
Einschätzung
Risiko: steigend
Potential: sehr hoch
Hintergrund und Dimension
Eine Schwachstelle im Verarbeiten von XML Texten erlaubt es einem
Angreifer, Code in den Rechner einzuschleusen. Sobald ein Benutzer auf
eine manipulierte Webseite geht, wird ohne Vorwarnung der Schadcode
durch die bekannt gewordene Lücke im Internet Explorer auf dem Rechner
des Opfers ausgeführt. Meist wird dabei als zweiter Schritt andere
Schadsoftware nachgeladen.
CERT.at weist darauf hin, dass bei ähnlichen Schwachstellen in der
Vergangenheit die Angreifer auf verschiedenen Wegen versucht haben,
Nutzer auf ihre Seiten zu locken. Weiters wurde verstärkt versucht,
über Schwachstellen in populären seriösen Webseiten (etwa per
SQL-Injection oder Cross-Site Scripting) entsprechende Code-Fragmente
einzubauen.
Obwohl die Sicherheitslücke gestern schon bekannt war, hat sich CERT.at
entschlossen, gestern noch keine Warnung herauszugeben da nach allen
bekannten Analysen nur chinesische Webseiten betroffen waren. Es wurde
hierbei nur ein Gamekeylogger installiert. Durch das Auftauchen des
Codes auf [11]milw0rm.com sieht CERT.at allerdings die Gefährdung akut
gesteigert. Wir erwarten in Zukunft somit Attacken auch ausserhalb
Chinas.
Auswirkungen
Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen
ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell
alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und
anderen Systeme gefährdet.
Betroffene Systeme
Alle üblicherweise verwendete Versionen des Internet Explorers
Abhilfe
Es wird empfohlen, die Sicherheitsstufe im Internet Explorer auf "Hoch"
zu setzen und die Schritte in der Microsoft Warnung zu befolgen. Da
dies allerdings die Bedienbarkeit bestehender Webseiten, die Javascript
verwenden, massiv beeinträchtigen kann, empfiehlt CERT.at bis zur
Bereitstellung eines Patches seitens Microsoft, alternative Browser zu
verwenden.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall Software
installiert zu haben und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Microsoft Warnung
http://www.microsoft.com/technet/security/advisory/961051.mspx
ISC Internet Storm Center SQL Injection code
http://isc.sans.org/diary.html?storyid=5464
ISC Internet Storm Center SQL IE6 und IE8 betroffen
http://isc.sans.org/diary.html?storyid=5470
__________________________________________________________________
References
10. http://www.microsoft.com/technet/security/advisory/961051.mspx
11. http://www.milw0rm.com/
12. http://www.microsoft.com/technet/security/advisory/961051.mspx
13. http://isc.sans.org/diary.html?storyid=5464
14. http://isc.sans.org/diary.html?storyid=5470
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 260 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20081212/e75fa0f2/attachment.sig>
More information about the Warning
mailing list