Exploit für Lücke ist da

Microsoft hat vergangene Woche vor einer neu entdeckten Sicherheitslcke im Internet Explorer (IE) gewarnt. Bereits zu diesem Zeitpunkt waren vereinzelte, gezielte Angriffe auf diese Schwachstelle bekannt. Inzwischen ist auch Exploit-Code für diese Lücke veröffentlicht worden, der eine Hintertür ins System öffnet.

Anfällig sind alle unterstützten IE-Versionen, also Internet Explorer 6, 7 und 8. Die Beta-Version vom Internet Explorer 9 soll hingegen laut Microsoft nicht betroffen sein. Der veröffentlichte Demo-Exploit wird von seinem Programmierer, Matteo Memelli, als «quick and dirty» bezeichnet, weil er keine Umgehung der Schutzmassnahmen DEP und ASLR enthält. DEP (Data Execution Prevention) ist für den IE 8 auch unter Windows XP standardmässig aktiviert und verhindert den Erfolg eines Angriffs.

Beim Internet Explorer 7 unter Windows XP und Vista ist DEP hingegen nicht aktiviert. Dies kann jedoch mit einer von Microsoft bereit gestellten Fix-it-Lösung nachgeholt werden. Für den IE 6 hat Microsoft eine zweite Fix-it-Lösung parat, die benutzerdefiniertes CSS einschaltet, wodurch ein Angriff scheitert. Beide Lösungen finden sich im KB-Artikel 2458511 bei Microsoft.

Der Fehler, der zur der CSS-Lücke führt, steckt in der IE-Komponente mshtml.dll, die für die HTML-Interpretation von Web-Seiten zuständig ist. Der veröffentlichte Exploit-Code öffnet im Erfolgsfall auf dem Port 4444 eine Hintertür ins System, über die ein Angreifer zum Beispiel Malware einschleusen könnte.

Bislang hat es Microsoft offenbar noch nicht als notwendig erachtet ausserhalb des normalen, monatlichen Patch-Zyklus ein Sicherheits-Update für den IE bereit zu stellen. Bei gestrigen Patch Day gab es jedenfalls nur Aktualisierungen für MS Office und Forefront UAG. Es ist jedoch durchaus möglich, dass Microsoft noch vor dem nächsten regulären Termin am 14. Dezember ein Update ausliefert, falls es Angriffe auf breiter Front geben sollte.