Sicherheitsforscher der HP-Tochter Tipping Point haben Exploit-Code für eine Zero-Day-Lücke in Internet Explorer veröffentlicht. Der Fehler erlaubt es, die Sicherheitsfunktion Address Space Layout Randomization (ASLR) auszuhebeln. Er steckt den Forschern zufolge allerdings nur in der 32-Bit-Version des Microsoft-Browsers. Da sie aber auch unter 64-Betriebssystemen die Standardversion ist, sind laut HP Millionen von Nutzern betroffen.
„Microsoft hat uns bestätigt, dass sie aufgrund unserer Erkenntnisse keine Maßnahmen einleiten werden. Wir sahen aber die Notwendigkeit, die Öffentlichkeit zu informieren“, schreibt Childs, der früher für Microsoft gearbeitet hat, in einem Blogeintrag. Er weist zudem darauf hin, dass Microsoft für die Entdeckung der Lücke im Frühjahr eine Belohnung von 125.000 Dollar gezahlt habe, die HP später gespendet habe.
Microsofts Einstufung der Schwachstelle bezeichnet Childs als „technisch korrekt“. Er kritisiert allerdings trotzdem die Entscheidung Redmonds, keinen Patch bereitzustellen. Deswegen habe man den Proof-of-Concept Exploit für Windows 7 und Windows 8.1 freigegeben.
„Wir stimmen nicht mit der Einschätzung überein und veröffentlichen die PoC-Informationen in der Überzeugung, dass betroffene Nutzer so vollständig informiert sein sollten wie möglich, um die ihrer Meinung nach notwendigen Schritte ergreifen zu können“, so Childs weiter. Nur wer die Bedrohung kenne, könne sich davor schützen.
Einen Patch lehnt Microsoft laut HP unter anderem deswegen ab, weil davon in erster Linie 64-Bit-Versionen profitieren. Der Fehler steckt jedoch in der 32-Bit-Version des Internet Explorer, der Standardversion des Microsoft-Browsers. Zudem reduziert nach Ansicht von Microsoft der Speicherschutz, der das Umgehen von ASLR erlaubt, das von einigen Use-after-free-Bugs ausgehende Risiko. Weniger Use-after-free-Lücken seien jedoch keine Rechtfertigung für die Schwächung von ASLR, kommentiert Childs.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…