Sicherheitsforscher der HP-Tochter Tipping Point haben Exploit-Code für eine Zero-Day-Lücke in Internet Explorer veröffentlicht. Der Fehler erlaubt es, die Sicherheitsfunktion Address Space Layout Randomization (ASLR) auszuhebeln. Er steckt den Forschern zufolge allerdings nur in der 32-Bit-Version des Microsoft-Browsers. Da sie aber auch unter 64-Betriebssystemen die Standardversion ist, sind laut HP Millionen von Nutzern betroffen.
Laut Dustin Childs, HP Senior Security Content Developer, habe HP den Schadcode ohne „böse Absichten“ öffentlich gemacht. Die Entscheidung sei auch in Übereinstimmung mit den eigenen Regeln für die Offenlegung von Sicherheitslücken getroffen worden, da Microsoft die Schwachstelle nicht als Gefahr ansehe.
„Microsoft hat uns bestätigt, dass sie aufgrund unserer Erkenntnisse keine Maßnahmen einleiten werden. Wir sahen aber die Notwendigkeit, die Öffentlichkeit zu informieren“, schreibt Childs, der früher für Microsoft gearbeitet hat, in einem Blogeintrag. Er weist zudem darauf hin, dass Microsoft für die Entdeckung der Lücke im Frühjahr eine Belohnung von 125.000 Dollar gezahlt habe, die HP später gespendet habe.
Microsofts Einstufung der Schwachstelle bezeichnet Childs als „technisch korrekt“. Er kritisiert allerdings trotzdem die Entscheidung Redmonds, keinen Patch bereitzustellen. Deswegen habe man den Proof-of-Concept Exploit für Windows 7 und Windows 8.1 freigegeben.
„Wir stimmen nicht mit der Einschätzung überein und veröffentlichen die PoC-Informationen in der Überzeugung, dass betroffene Nutzer so vollständig informiert sein sollten wie möglich, um die ihrer Meinung nach notwendigen Schritte ergreifen zu können“, so Childs weiter. Nur wer die Bedrohung kenne, könne sich davor schützen.
Einen Patch lehnt Microsoft laut HP unter anderem deswegen ab, weil davon in erster Linie 64-Bit-Versionen profitieren. Der Fehler steckt jedoch in der 32-Bit-Version des Internet Explorer, der Standardversion des Microsoft-Browsers. Zudem reduziert nach Ansicht von Microsoft der Speicherschutz, der das Umgehen von ASLR erlaubt, das von einigen Use-after-free-Bugs ausgehende Risiko. Weniger Use-after-free-Lücken seien jedoch keine Rechtfertigung für die Schwächung von ASLR, kommentiert Childs.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Neueste Kommentare
4 Kommentare zu Exploit-Code für ungepatchte Internet-Explorer-Lücke veröffentlicht
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Was ist der größere Skandal?
Das fehlende Patchen von MS – oder die offensichtliche Gleichgültigkeit der User?
Es gibt halt auch user die den ie schon seit den 90ern nicht mehr nutzen. Wenn das jetzt noch mehr Leute machen würden, wäre der patch schnell da, so denke ich.
So kann man auch Druck für eine Migration auf Windows 10 aufbauen. Es ist aber keine feine Art das durch fehlende Sicherheitspatches zu erzwingen. Offensichtlich lernt Microsoft von Google, die das bereits praktizieren.
Doof wenns nur dazu führt dass mehr und mehr User zu alternativer Software wechseln. Die im OS eingebauten Programme oder Apps zu nutzen ist zwar naheliegend, aber mehr und mehr Menschen verzichten darauf.
Interessant wäre es nur, wenn rechtliche Handhabe bestünde gegenüber Softwareentwicklern, die als aktuell geltende Software bei Kenntnis von Sicherheitslücken nicht patchen.