Achtung: Neue Zero-Day-Sicherheitslücke im IE entdeckt!

Falls ihr nicht mit Google Chrome oder Firefox, sondern mit dem Internet Explorer (IE)  unterwegs seid, bricht mal wieder die Zeit der “Kopfschmerzen” an. Der IE hat eine neue, (Zero-Day) kritische Sicherheitslücke, für die es keinen Patch gibt.


Anzeige

MVP-Kollege Damian Dandik weist hier bei netzwerktotal.de auf diesen Umstand hin. Damian bezieht sich auf einen Artikel des Computer Emergency Response Team Austria (CERT). In diesem Artikel findet sich der Hinweis auf ein Advisory der Firma Tipping Point, in dem vor einer “Zero-Day”-Lücke (CVE-2014-8967) in Microsoft Internet Explorer gewarnt wird.

Die Lücke: Remote Code-Execution

Über die Lücke lässt sich Remote Code per IE einschleusen und ausführen. Es reicht, wenn der Benutzer eine entsprechend präparierte Datei oder Webseite im Browser aufruft. Damit fällt alles, von der Phishing-Mail über infizierte Webseiten und Blogs als Infektionsquelle in’s Raster. Unklar ist, ob auch die Vorschaufunktionen in Office betroffen sind.

Welche Systeme sind betroffen?

Laut CERT sind die Internet Explorer-Versionen 8, 9, 10 und 11 in folgenden Windows-Versionen von der Zero Day-Lücke betroffen:

  • Windows Server 2003 und x64 Edition SP2
  • Windows Vista und x64 Edition SP2
  • Windows Server 2008 für 32-bit und x64-basierte Systeme SP2
  • Windows 7 für 32-bit und x64-based Systeme SP1
  • Windows Server 2008 R2 für Itanium-basierte Systems und x64-basierte Systeme SP1
  • Windows 8 and 8.1 für 32-bit und x64-based Systeme
  • Windows Server 2012 und Windows Server 2012 R2
  • Windows RT und Windows RT 8.1

Benutzer von Windows XP sind natürlich auch betroffen, dort gibt es aber keine Updates mehr von Microsoft. Ob da der POS-Trick (siehe Registry-Hack ermöglicht weiter Windows XP-Updates) hilft, weiß ich nicht. Ob die Sicherheitslücke am kommenden Dienstag beim Patchday geschlossen wird, entzieht sich momentan meiner Kenntnis.

Wie kann man sich schützen?

Bis Microsoft Patches liefert, sollte man auf alternative Browser wie Google Chrome oder Firefox ausweichen. An dieser Stelle mein Hinweis, dass es von beiden Browsern auch portable Versionen gibt, die nicht installiert werden müssen (habe ich hier standardmäßig immer auf einer Partition rumliegen).

Falls man auf den IE angewiesen ist (z.B. wegen Intranet-Anwendungen), empfiehlt es sich, über Extras/Internetoptionen auf der Registerkarte Sicherheit den Regler für die Zone “Internet” auf “Hoch” zu stellen.


Anzeige

Bei CERT führt man sogar folgende Methoden zur Erhöhung der Sicherheit an:

  • Setzen der Sicherheitseinstellungen für “Internet” auf “hoch”, um Active Scripting (JavaScript) und ActiveX Controls in dieser Zone zu deaktivieren. Dies kann Auswirkungen auf die Funktionalität von Webseiten haben.
  • Internet Explorer so konfigurieren, dass vor dem Ausführen von Active Scripting-Komponenten (JavaScript) auf Webseiten beim Benutzer nachgefragt wird.
  • EMET (Enhanced Mitigation Experience Toolkit) in der Version 5.1 verwenden und für Internet Explorer konfigurieren.

Die Maßnahmen haben aber den Nachteil, dass Webseiten wie Amazon.de nicht mehr korrekt funktionieren. Und ansonsten bleibt für uns nur zu hoffen, dass die von Microsoft für Dienstag, den 9. Dezember 2014, zum Patchday angekündigten IE-Updates für eine Remote Code Execution-Lücke das Zero-Day-Problem (CVE-2014-8967) schließen.


Anzeige


Dieser Beitrag wurde unter Internet Explorer, Sicherheit, Windows 7, Windows 8, Windows 8.1, Windows RT, Windows Server, Windows Vista abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Achtung: Neue Zero-Day-Sicherheitslücke im IE entdeckt!


  1. Anzeige
  2. Charles sagt:

    Ja,toll,der Rat mit der höchstens Stufe einstellen ! Dann kann man auch gar nichts mehr schreiben und antworten in den Foren !! Darum hab ich wieder zurück gestellt auf Default,damit ich hier diesen Kommentar verfassen kann ! Gruss Charles

    • Günter Born sagt:

      @Charles: Genau lesen! Der Tipp mit der höchste Sicherheitsstufe findet sich für Leute in Firmen, die absolut auf den IE angewiesen sind. Ich hatte imho doch erwähnt, dass im Privatbereich ggf. der Firefox oder Google Chrome portable eingesetzt werden könnte …

      Nachtrag: Auch bei heise.de ist jetzt dieser Artikel mit ein paar Infos zur Lücke erschienen.

  3. Bitpicker sagt:

    Der POS-“Trick” hilft. Seit Mai 2014 gibt es laufend (insgesamt bis heute ca. 40) sicherheitsrelevante Patches für XP und den IE.
    Empfehlung für XP-User: EMET 5.0 (nicht 5.1 !) installieren. EMET 5 benötigt NET.Framework 4.0

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.