Microsoft und Google haben unabhängig voneinander davor gewarnt, dass eine neue Zero-Day-Lücke in Internet Explorer missbraucht wird, um in Google-Mail-Konten einzubrechen. Der Fehler im Microsoft-Browser ermöglicht es, ohne oder nur mit wenig Interaktion mit einem Nutzer Schadcode einzuschleusen und auszuführen.
Der Softwarekonzern spricht in einer Sicherheitsmeldung von „aktiven Angriffen“. Sie haben einer Quelle von ZDNet zufolge dazu geführt, dass Google seit Anfang Juni Nutzer seines E-Mail-Diensts auf eine mögliche Kompromittierung ihres Kontos durch einen staatlich unterstützten Angreifer hinweist. Auf Twitter haben demnach mehrere Anwender bestätigt, dass sie einen entsprechenden Hinweis in ihrem Posteingang sehen. Eine Google-Sprecherin sagte jedoch News.com, es gebe keinen Zusammenhang zwischen den Angriffen auf die Zero-Day-Lücke in IE und der Einführung der Warnung.
Google zufolge wird eine Lücke in IE für staatlich unterstützte Angriffe auf Google-Mail-Konten missbraucht (Bild: Google).
Nach Angaben von Microsoft kann die Schwachstelle in den XML Core Services ausgenutzt werden, wenn eine manipulierte Website im Internet Explorer angezeigt wird. Ein Angreifer müsse sein Opfer allerdings zuerst auf eine solche Seite locken, beispielsweise mit einem Link in einer E-Mail oder einer Instant-Messenger-Nachricht. Betroffen seien alle unterstützten Versionen von Windows sowie Office 2003 und Office 2007.
Da bisher kein Patch erhältlich ist, hat Microsoft ein sogenanntes Fix-it-Tool veröffentlicht. Es soll die „bekannten Angriffsmethoden blockieren, bis ein Sicherheitsupdate zur Verfügung steht“. Das Tool kann von der Microsoft-Website heruntergeladen werden.
Alternativ können Nutzer des Internet Explorer ihren Browser so konfigurieren, dass vor der Ausführung von Active Scripting eine Bestätigung eingeholt wird. Die Funktion lässt sich in den Sicherheitszonen „Internet“ und „Lokales Internet“ auch vollständig deaktivieren. Eine genaue Anleitung findet sich unter „Empfohlene Maßnahmen“ in Microsofts Sicherheitswarnung.
Wann Microsoft ein Update für den Internet Explorer herausgeben wird, ist nicht bekannt. Der nächste Patchday findet am 10. Juli statt. Möglicherweise stopft der Softwarekonzern das Loch aber auch außer der Reihe.
[mit Material von Ryan Naraine, ZDNet.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
Neueste Kommentare
Noch keine Kommentare zu Hacker nutzen Zero-Day-Lücke in IE für Angriffe auf Google-Mail-Konten
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.