HPs Zero Day Initiative macht vier Zero-Day-Lücken in Internet Explorer Mobile öffentlich

HPs Zero Day Initiative (ZDI) hat auf vier bisher ungepatchte Sicherheitslücken in Internet Explorer unter Windows Phone aufmerksam gemacht. Microsoft kennt die Schwachstellen schon seit mindestens vier Monaten, hat aber bisher nur Patches für die Desktop-Versionen seines Browser bereitgestellt. Wie ThreatPost berichtet, folgt ZDI seiner Richtlinie, vertraulich gemeldete Schwachstellen nach 120 Tagen öffentlich zu machen, selbst wenn der Hersteller noch keinen Fix entwickelt hat.

Eine der Anfälligkeiten ist Microsoft sogar schon seit November bekannt. Sicherheitsforscher hatten sie während des Wettbewerbs Mobile Pwn2Own präsentiert. Ein Fehler in IE Mobile beim Umgang mit HTML-Tabellen ermöglicht es, Schadcode einzuschleusen und auszuführen.

Auch die anderen drei Schwachstellen treten auf, weil Microsofts Mobilbrowser mit bestimmten Objekten nicht richtig umgeht. ZDI zufolge handelt es sich um die Objekte CAttrArray, CTreePos und CCurrentStyle, die es unter anderem erlauben, einen Zeiger, nachdem er freigegeben wurde, erneut zu benutzen. In allen drei Fällen ist auch eine Remotecodeausführung mit den Rechten des angemeldeten Nutzers möglich.

Anfänglich hatte ZDI in seinen Sicherheitswarnungen angegeben, die Fehler steckten auch in Internet Explorer für Desktops. Offenbar erst nach Rücksprache mit Microsoft korrigierte die HP-Tochter die Angaben zu den anfälligen Browserversionen.

Ob und wann ein Patch für die vier Löcher zur Verfügung stehen wird, ist indes nicht bekannt. „Uns sind die Berichte bezüglich Internet Explorer für Windows Phone bekannt. Verschiedene Faktoren müssen eintreten und bisher wurden keine Angriffe entdeckt. Wir überwachen weiterhin die Situation und werden angemessene Schritte ergreifen, um unsere Kunden zu schützen“, zitiert ThreatPost einen Microsoft-Sprecher. Unklar ist auch, ob Microsoft die Fehler in seinem neuen Mobilbrowser Edge für Windows 10 beseitigt hat.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

15 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

19 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

19 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

20 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

20 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

22 Stunden ago