Clanstube Community

21. Dezember 2024 - 17:50
 

Internet Explorer: Zwanzig neue Schwachstellen in zwanzig Tagen

SicherheitDer vom Metasploit-Entwickler H.D. Moore für den Juli verkündete Month of Browser Bugs (MoBB) hat bislang 20 Sicherheitslücken im Internet Explorer zu Tage gefördert. Moore hatte sich Anfang Juli das Ziel gesetzt, jeden Tag einen neuen Fehler zu veröffentlichen.

Während fast alle der bislang gefundenen Schwachstellen sich nur für Denial-of-Service-Attacken gegen Microsofts Browser ausnutzen ließen, soll eine der neuesten Entdeckungen aber das Einschleusen von Schadcode ermöglichen. Zwar beruht die Lücke auf einem Integer Overflow und nicht wie die meisten anderen auf Null-Pointer-Dereferences, ein Beweis der Ausnutzbarkeit steht aber noch aus. Die Demo von H.D. Moore bringt den Browser nur zum Absturz. Das französische FrSIRT stuft den Fehler dennoch als kritisch ein. Der Fehler findet sich in der Common Controls library comctl32.dll und wird durch bestimmte Aufrufe der Funktion setSlice() zur Darstellung von WebViewFolderIcons provoziert.

Für keine der von Moore in seinem Blog "Browser Fun - Browser bugs, tricks, and hacks" skizzierten Fehler gibt es bislang einen Patch, weil er die Informationen sofort veröffentlicht – ohne Microsoft zu informieren. Ohnehin hat sich Metasploit-Entwickler in letzter Zeit bereits öfter als Anhänger einer Full-Disclosure-Politik hervorgetan. So war er einer der Ersten, der einen funktionierenden Exploit für die WMF-Lücke entwickelt hat. Auch sein Exploit für die erst kürzlich geschlossene RRAS-Schwachstelle stieß bei Microsoft auf wenig Gegenliebe.

Links:
- Quelle: heise.de
- IE-Fehlerberichte von H.D.Moore: Browser Fun - bugs, tricks, and hacks

Kommentare

Es wurden noch keine Kommentare verfasst.

Kommentar schreiben

Bitte logge dich ein, um einen Kommentar zu verfassen.