[Warning] "Zero-Day" Sicherheitslücke in Microsoft Internet Explorer 8
Robert Waldner
waldner at cert.at
Thu May 22 09:54:00 CEST 2014
22. Mai 2014
Beschreibung
Die "Zero-Day-Initiative" der Firma Tipping Point hat ein Advisory
veröffentlicht, in dem vor einer "Zero-Day"-Lücke (CVE-2014-1770) in
Microsoft Internet Explorer 8 gewarnt wird:
http://zerodayinitiative.com/advisories/ZDI-14-140/
CVSS (Common Vulnerability Scoring System) Score: 6.8,
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Aktuell ist nicht bekannt, dass diese Schwachstelle in realen
Angriffen verwendet wird. Es ist aber anzunehmen, dass sich nach der
Veröffentlichung nun diverse Akteure darauf konzentrieren werden.
Auswirkungen
Um die Lücke auszunutzen, muss vom Benutzer eine entsprechend
präparierte Webseite oder Datei geöffnet werden. Links auf diese
können unter anderem per Spam-Mail verbreitet werden - es ist auch
denkbar, dass Seiten, die es Usern erlauben, eigenen Content zu
erstellen (etwa Blogs), mit entsprechenden Beiträgen präpariert
werden.
Ob ein Ausnutzen über die "Vorschau"-Funktionen von Microsoft
Outlook, Outlook Express und Windows Mail möglich ist, ist im Moment
nicht bekannt. Laut Microsoft sollten es die Default-
Sicherheitseinstellungen aber zumindest erschweren.
Da der Angreifer nach einem erfolgreichen Angriff prinzipiell
beliebigen Code mit den Rechten des angemeldeten Benutzers auf den
betroffenen Systemen ausführen kann, sind alle Daten auf diesen
Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch
ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen
Systeme gefährdet.
Betroffene Systeme
Nach den aktuell vorliegenden Informationen ist nur die Version 8 des
Internet Explorers betroffen, diese ist auf folgenden Versionen von
Microsoft Windows verfügbar:
* Internet Explorer 8 auf
+ Windows XP ab SP2
+ Windows Server 2003 SP2
+ Windows Vista
+ Windows Server 2008
+ Windows 7
+ Windows Server 2008 R2
Achtung - Windows XP
Wir empfehlen Nutzern, die immer noch Windows XP verwenden, ein
Upgrade auf aktuellere Versionen von Microsoft Windows oder andere
Betriebssysteme, und bis dahin zumindest den Einsatz alternativer
Browser (Mozilla Firefox, Google Chrome, Opera etc.).
Abhilfe
Sobald verfügbar, Upgrade auf entsprechend gefixte Versionen von
Microsoft Internet Explorer.
Bis dahin kann laut Informationen von Microsoft, die im Advisory der
Zero-Day-Initiative angeführt sind, mit folgenden Methoden ein
Ausnutzen dieser Lücke verhindert oder zumindest erschwert werden:
* Windows Server:
Die Default-Einstellungen ("Enhanced Security Configuration") für
Internet Explorer auf Windows Server (Windows Server 2003,
Windows Server 2008, Windows Server 2008 R2) verhindern ein
Ausnutzen dieser Lücke.
* Setzen der Sicherheitseinstellungen für "Internet" auf "hoch", um
Active Scripting (JavaScript) und ActiveX Controls in dieser Zone
zu deaktivieren. Dies kann Auswirkungen auf die Funktionalität
von Webseiten haben.
* Internet Explorer so zu konfigurieren, dass vor dem Ausführen von
Active Scripting-Komponenten (JavaScript) auf Webseiten beim
Benutzer nachgefragt wird.
* EMET (Enhanced Mitigation Experience Toolkit) aktivieren und für
Internet Explorer konfigurieren. Details dazu finden sich auf den
Webseiten von Microsoft, etwa hier:
http://support.microsoft.com/kb/2458544
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Advisory der "Zero-Day-Initiative" (englisch)
http://zerodayinitiative.com/advisories/ZDI-14-140/
CVSS (Common Vulnerability Scoring System) Calculator
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=%28AV:N/AC:M/Au:N/C:P/I:P/A:P%29
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 872 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20140522/02be8d8e/attachment.sig>
More information about the Warning
mailing list