10.01.2011, 09:22 Uhr
Lücke im Internet Explorer
Ein Sicherheitsforscher hat ein Tool veröffentlicht, mit dem er verschiedene Browser-Schwachstellen entdeckt haben will. Darunter ist auch eine bis dahin nicht bekannte Lücke im Internet Explorer.
Der polnische Sicherheitsforscher Michal Zalewski hat ein Programm entwickelt, mit dem er Browser-Lücken in Firefox, Opera, Internet Explorer sowie in Webkit-basierten Programmen wie Safari und Chrome aufgespürt hat. Eine von Zalewski aufgedeckte IE-Lücke ist nun von einem unabhängigen Sicherheitsunternehmen bestätigt worden.
Michal Zalewski, Sicherheitsfachmann in Diensten von Google, hatte sein Tool «cross_fuzz» bereits im Juli 2010 zusammen mit einigen Befunden an Microsoft und andere Browser-Hersteller geschickt. Nach seinen Angaben haben Mozilla und Opera seitdem auch bereits von ihm gemeldete Schwachstellen beseitigt. Nur von Microsoft habe er nichts mehr gehört.
Das hat sich erst kurz vor Weihnachten geändert, als Zalewski eine neue Version seines Programms zusammen mit Informationen über eine neue IE-Lücke veröffentlichte. Microsoft bat im Vorfeld darum, das Tool auf unbestimmte Zeit zurück zu halten. Doch da Zalewski Grund zu der Annahme hatte, chinesische Hacker hätten die IE-Lücke bereits entdeckt, lehnte er ab.
Das französische Sicherheitsunternehmen Vupenhat inzwischen bestätigt, dass die von Zalewski entdeckte Schwachstelle im Internet Explorer geeignet ist Drive-by-Angriffe auszuführen. Vupen-Fachleute haben den Fehler in der Programmbibliothek mshtml.dll ausgemacht. Einen ähnlichen Fehler in dieser DLL hatte Microsoft beim Patchday im letzten Dezember behoben.
Microsofts Ankündigungfr den nchsten Patch Day am 11. Januarstellt ausdrücklich keinerlei Sicherheits-Updates in Aussicht, die diese und andere bereits bekannten Schwachstellen im IE und in Windows beheben würden.
Michal Zalewski, Sicherheitsfachmann in Diensten von Google, hatte sein Tool «cross_fuzz» bereits im Juli 2010 zusammen mit einigen Befunden an Microsoft und andere Browser-Hersteller geschickt. Nach seinen Angaben haben Mozilla und Opera seitdem auch bereits von ihm gemeldete Schwachstellen beseitigt. Nur von Microsoft habe er nichts mehr gehört.
Das hat sich erst kurz vor Weihnachten geändert, als Zalewski eine neue Version seines Programms zusammen mit Informationen über eine neue IE-Lücke veröffentlichte. Microsoft bat im Vorfeld darum, das Tool auf unbestimmte Zeit zurück zu halten. Doch da Zalewski Grund zu der Annahme hatte, chinesische Hacker hätten die IE-Lücke bereits entdeckt, lehnte er ab.
Das französische Sicherheitsunternehmen Vupenhat inzwischen bestätigt, dass die von Zalewski entdeckte Schwachstelle im Internet Explorer geeignet ist Drive-by-Angriffe auszuführen. Vupen-Fachleute haben den Fehler in der Programmbibliothek mshtml.dll ausgemacht. Einen ähnlichen Fehler in dieser DLL hatte Microsoft beim Patchday im letzten Dezember behoben.
Microsofts Ankündigungfr den nchsten Patch Day am 11. Januarstellt ausdrücklich keinerlei Sicherheits-Updates in Aussicht, die diese und andere bereits bekannten Schwachstellen im IE und in Windows beheben würden.
