HPs Zero Day Initiative (ZDI) hat auf vier bisher ungepatchte Sicherheitslücken in Internet Explorer unter Windows Phone aufmerksam gemacht. Microsoft kennt die Schwachstellen schon seit mindestens vier Monaten, hat aber bisher nur Patches für die Desktop-Versionen seines Browser bereitgestellt. Wie ThreatPost berichtet, folgt ZDI seiner Richtlinie, vertraulich gemeldete Schwachstellen nach 120 Tagen öffentlich zu machen, selbst wenn der Hersteller noch keinen Fix entwickelt hat.
Eine der Anfälligkeiten ist Microsoft sogar schon seit November bekannt. Sicherheitsforscher hatten sie während des Wettbewerbs Mobile Pwn2Own präsentiert. Ein Fehler in IE Mobile beim Umgang mit HTML-Tabellen ermöglicht es, Schadcode einzuschleusen und auszuführen.
Auch die anderen drei Schwachstellen treten auf, weil Microsofts Mobilbrowser mit bestimmten Objekten nicht richtig umgeht. ZDI zufolge handelt es sich um die Objekte CAttrArray, CTreePos und CCurrentStyle, die es unter anderem erlauben, einen Zeiger, nachdem er freigegeben wurde, erneut zu benutzen. In allen drei Fällen ist auch eine Remotecodeausführung mit den Rechten des angemeldeten Nutzers möglich.
Anfänglich hatte ZDI in seinen Sicherheitswarnungen angegeben, die Fehler steckten auch in Internet Explorer für Desktops. Offenbar erst nach Rücksprache mit Microsoft korrigierte die HP-Tochter die Angaben zu den anfälligen Browserversionen.
Ob und wann ein Patch für die vier Löcher zur Verfügung stehen wird, ist indes nicht bekannt. „Uns sind die Berichte bezüglich Internet Explorer für Windows Phone bekannt. Verschiedene Faktoren müssen eintreten und bisher wurden keine Angriffe entdeckt. Wir überwachen weiterhin die Situation und werden angemessene Schritte ergreifen, um unsere Kunden zu schützen“, zitiert ThreatPost einen Microsoft-Sprecher. Unklar ist auch, ob Microsoft die Fehler in seinem neuen Mobilbrowser Edge für Windows 10 beseitigt hat.
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Neueste Kommentare
1 Kommentar zu HPs Zero Day Initiative macht vier Zero-Day-Lücken in Internet Explorer Mobile öffentlich
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Und immer wieder MS mit nicht gepatchten Lücken…
…aber ständig neue Programme entwickeln, ohne die Basis abzusichern.
Tschüss MS, Welcome Linux!