Exploit-Code für ungepatchte Internet-Explorer-Lücke veröffentlicht

Sicherheitsforscher der HP-Tochter Tipping Point haben Exploit-Code für eine Zero-Day-Lücke in Internet Explorer veröffentlicht. Der Fehler erlaubt es, die Sicherheitsfunktion Address Space Layout Randomization (ASLR) auszuhebeln. Er steckt den Forschern zufolge allerdings nur in der 32-Bit-Version des Microsoft-Browsers. Da sie aber auch unter 64-Betriebssystemen die Standardversion ist, sind laut HP Millionen von Nutzern betroffen.

Laut Dustin Childs, HP Senior Security Content Developer, habe HP den Schadcode ohne „böse Absichten“ öffentlich gemacht. Die Entscheidung sei auch in Übereinstimmung mit den eigenen Regeln für die Offenlegung von Sicherheitslücken getroffen worden, da Microsoft die Schwachstelle nicht als Gefahr ansehe.

„Microsoft hat uns bestätigt, dass sie aufgrund unserer Erkenntnisse keine Maßnahmen einleiten werden. Wir sahen aber die Notwendigkeit, die Öffentlichkeit zu informieren“, schreibt Childs, der früher für Microsoft gearbeitet hat, in einem Blogeintrag. Er weist zudem darauf hin, dass Microsoft für die Entdeckung der Lücke im Frühjahr eine Belohnung von 125.000 Dollar gezahlt habe, die HP später gespendet habe.

Microsofts Einstufung der Schwachstelle bezeichnet Childs als „technisch korrekt“. Er kritisiert allerdings trotzdem die Entscheidung Redmonds, keinen Patch bereitzustellen. Deswegen habe man den Proof-of-Concept Exploit für Windows 7 und Windows 8.1 freigegeben.

„Wir stimmen nicht mit der Einschätzung überein und veröffentlichen die PoC-Informationen in der Überzeugung, dass betroffene Nutzer so vollständig informiert sein sollten wie möglich, um die ihrer Meinung nach notwendigen Schritte ergreifen zu können“, so Childs weiter. Nur wer die Bedrohung kenne, könne sich davor schützen.

Einen Patch lehnt Microsoft laut HP unter anderem deswegen ab, weil davon in erster Linie 64-Bit-Versionen profitieren. Der Fehler steckt jedoch in der 32-Bit-Version des Internet Explorer, der Standardversion des Microsoft-Browsers. Zudem reduziert nach Ansicht von Microsoft der Speicherschutz, der das Umgehen von ASLR erlaubt, das von einigen Use-after-free-Bugs ausgehende Risiko. Weniger Use-after-free-Lücken seien jedoch keine Rechtfertigung für die Schwächung von ASLR, kommentiert Childs.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago