Microsoft warnt vor neuer Zero-Day-Lücke in Internet Explorer

Microsoft hat eine neue Zero-Day-Lücke in seinem Browser Internet Explorer eingeräumt. Die Schwachstelle wird einer Sicherheitsmeldung zufolge bereits aktiv ausgenutzt – ein Patch steht indes noch nicht zur Verfügung.

Stattdessen beschränkt sich das Advisory ADV200001 auf Lösungen, die Angriffe auf die Schwachstelle erschweren sollen. Das Unternehmen verweist auf die verstärkte Sicherheitskonfiguration des Browsers, die Nutzer für alle nicht vertrauenswürdigen Websites aktivieren sollten.

Darüber hinaus sollen Nutzer den Zugriff auf ein alte Version der Scripting Engine jscript.dll einschränken. Internet Explorer 9, 10 und 11 verwenden demnach standardmäßig die Datei jscript9.dll, bestimmte Websites benötigten jedoch weiterhin die frühere Version.

Als Folge des Workarounds können jedoch Funktionen, die auf die Bibliothek jscript.dll angewiesen sein, nicht mehr zur Verfügung stehen. Als Beispiel nennt Microsoft Client-Konfigurationen, die automatische Proxy-Konfigurations-Skripte einsetzen. Das Security Advisory beschreibt von daher nicht nur, wie der Zugriff auf die fehlerhafte Datei eingeschränkt, sondern auch wie sie wieder freigegeben wird.

Der Fehler erlaubt das Einschleusen und Ausführen von Schadcode aus der Ferne. Ein Angreifer erhält so dieselben Rechte wie der angemeldete Benutzer. Den muss er zuvor nur davon überzeugen, eine speziell gestaltete Website aufzurufen, beispielsweise mithilfe einer Phishing-E-Mail, die einen Link enthält.

Wann die Anfälligkeit mit der Kennung CVE-2020-0674 behoben wird, teilte Microsoft nicht mit. Wie üblich verwies es auch den nächsten Patchday, der am 11. Februar stattfinden wird, sowie auf die Option, ein außerplanmäßiges Sicherheitsupdate zu veröffentlichen.

Mit dem Ende des Supports für Windows 7 betrifft die Schwachstelle neben Windows 10 nur noch Serverversionen von Windows, und zwar Server 2012, 2012 R2, Server 2016 sowie Server 2019. Zu den betroffenen Produkten zählt Microsoft aber auch Windows 7, Server 2008 und Server 2008 R2.

Anfang Januar schloss Mozilla eine Domain. Sie steckte im JavaScript-Compiler Ion Monkey. Der Entdecker der Schwachstelle, der chinesische Sicherheitsanbieter Qihoo 360, wies zu dem Zeitpunkt in einem später gelöschten Tweet darauf hin, dass auch andere Browser betroffen seien. Ob es sich tatsächlich um dieselbe Anfälligkeit handelt, wurde bisher jedoch weder von Qihoo 360 noch von Microsoft bestätigt.