Hacker nutzen Zero-Day-Lücke in IE für Angriffe auf Google-Mail-Konten

Microsoft und Google haben unabhängig voneinander davor gewarnt, dass eine neue Zero-Day-Lücke in Internet Explorer missbraucht wird, um in Google-Mail-Konten einzubrechen. Der Fehler im Microsoft-Browser ermöglicht es, ohne oder nur mit wenig Interaktion mit einem Nutzer Schadcode einzuschleusen und auszuführen.

Der Softwarekonzern spricht in einer Sicherheitsmeldung von „aktiven Angriffen“. Sie haben einer Quelle von ZDNet zufolge dazu geführt, dass Google seit Anfang Juni Nutzer seines E-Mail-Diensts auf eine mögliche Kompromittierung ihres Kontos durch einen staatlich unterstützten Angreifer hinweist. Auf Twitter haben demnach mehrere Anwender bestätigt, dass sie einen entsprechenden Hinweis in ihrem Posteingang sehen. Eine Google-Sprecherin sagte jedoch News.com, es gebe keinen Zusammenhang zwischen den Angriffen auf die Zero-Day-Lücke in IE und der Einführung der Warnung.


Google zufolge wird eine Lücke in IE für staatlich unterstützte Angriffe auf Google-Mail-Konten missbraucht (Bild: Google).

Nach Angaben von Microsoft kann die Schwachstelle in den XML Core Services ausgenutzt werden, wenn eine manipulierte Website im Internet Explorer angezeigt wird. Ein Angreifer müsse sein Opfer allerdings zuerst auf eine solche Seite locken, beispielsweise mit einem Link in einer E-Mail oder einer Instant-Messenger-Nachricht. Betroffen seien alle unterstützten Versionen von Windows sowie Office 2003 und Office 2007.

Da bisher kein Patch erhältlich ist, hat Microsoft ein sogenanntes Fix-it-Tool veröffentlicht. Es soll die „bekannten Angriffsmethoden blockieren, bis ein Sicherheitsupdate zur Verfügung steht“. Das Tool kann von der Microsoft-Website heruntergeladen werden.

Alternativ können Nutzer des Internet Explorer ihren Browser so konfigurieren, dass vor der Ausführung von Active Scripting eine Bestätigung eingeholt wird. Die Funktion lässt sich in den Sicherheitszonen „Internet“ und „Lokales Internet“ auch vollständig deaktivieren. Eine genaue Anleitung findet sich unter „Empfohlene Maßnahmen“ in Microsofts Sicherheitswarnung.

Wann Microsoft ein Update für den Internet Explorer herausgeben wird, ist nicht bekannt. Der nächste Patchday findet am 10. Juli statt. Möglicherweise stopft der Softwarekonzern das Loch aber auch außer der Reihe.

[mit Material von Ryan Naraine, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago