Microsoft und Google haben unabhängig voneinander davor gewarnt, dass eine neue Zero-Day-Lücke in Internet Explorer missbraucht wird, um in Google-Mail-Konten einzubrechen. Der Fehler im Microsoft-Browser ermöglicht es, ohne oder nur mit wenig Interaktion mit einem Nutzer Schadcode einzuschleusen und auszuführen.
Der Softwarekonzern spricht in einer Sicherheitsmeldung von „aktiven Angriffen“. Sie haben einer Quelle von ZDNet zufolge dazu geführt, dass Google seit Anfang Juni Nutzer seines E-Mail-Diensts auf eine mögliche Kompromittierung ihres Kontos durch einen staatlich unterstützten Angreifer hinweist. Auf Twitter haben demnach mehrere Anwender bestätigt, dass sie einen entsprechenden Hinweis in ihrem Posteingang sehen. Eine Google-Sprecherin sagte jedoch News.com, es gebe keinen Zusammenhang zwischen den Angriffen auf die Zero-Day-Lücke in IE und der Einführung der Warnung.
Nach Angaben von Microsoft kann die Schwachstelle in den XML Core Services ausgenutzt werden, wenn eine manipulierte Website im Internet Explorer angezeigt wird. Ein Angreifer müsse sein Opfer allerdings zuerst auf eine solche Seite locken, beispielsweise mit einem Link in einer E-Mail oder einer Instant-Messenger-Nachricht. Betroffen seien alle unterstützten Versionen von Windows sowie Office 2003 und Office 2007.
Da bisher kein Patch erhältlich ist, hat Microsoft ein sogenanntes Fix-it-Tool veröffentlicht. Es soll die „bekannten Angriffsmethoden blockieren, bis ein Sicherheitsupdate zur Verfügung steht“. Das Tool kann von der Microsoft-Website heruntergeladen werden.
Alternativ können Nutzer des Internet Explorer ihren Browser so konfigurieren, dass vor der Ausführung von Active Scripting eine Bestätigung eingeholt wird. Die Funktion lässt sich in den Sicherheitszonen „Internet“ und „Lokales Internet“ auch vollständig deaktivieren. Eine genaue Anleitung findet sich unter „Empfohlene Maßnahmen“ in Microsofts Sicherheitswarnung.
Wann Microsoft ein Update für den Internet Explorer herausgeben wird, ist nicht bekannt. Der nächste Patchday findet am 10. Juli statt. Möglicherweise stopft der Softwarekonzern das Loch aber auch außer der Reihe.
[mit Material von Ryan Naraine, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…