Freitag, 15. Januar 2010
Sicherheitswarnung! Lücke in Internet Explorer ermöglicht Einschleusen beliebigen Schadcodes [4. Update]
Microsoft warnt im Security Advisory 979352 (deutschsprachig) vor einer neu entdeckten Sicherheitslücke in Internet Explorer (IE) 6, IE7 und IE8 unter allen unterstützten Windows Versionen (Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2), über die sich beim Besuch einer entsprechend präparierten Website grundsätzlich beliebiger Schadcode in das System einschleusen und ausführen lässt (Remote Code Execution). Diese Sicherheitslücke wird (für den IE6) nach Angaben von Microsoft bereits ausgenutzt (0-Day Exploit).
[4. Update]
Am 21. Januar 2010 wurde außerplanmäßig das Kumulative Sicherheitsupdate KB978207 (MS10-002) (englisch bzw. deutsch) veröffentlicht, mit dem die Sicherheitslücke geschlossen werden soll. Weitere Informationen zu den Updates finden sich auch auf dieser kleinen Site für[/4. Update]
[4. Update]
Am 21. Januar 2010 wurde außerplanmäßig das Kumulative Sicherheitsupdate KB978207 (MS10-002) (englisch bzw. deutsch) veröffentlicht, mit dem die Sicherheitslücke geschlossen werden soll. Weitere Informationen zu den Updates finden sich auch auf dieser kleinen Site für[/4. Update]
[1. Update] Die Sicherheitslücke liegt nach derzeitigen Informationen in einer fehlerhaften Speicherverwaltung der mshtml.dll begründet, die sich unter Zuhilfenahme von bestimmtem JavaScript-Code ausnutzen lässt. Unter anderem mit dieser Sicherheitslücke wurde laut McAfee die "Operation Aurora" genannte Attacke auf Google & Co. durchgeführt, über die u.a. auch "heise online" berichtete. [/1. Update]
Diese Sicherheitslücke soll sich durch den "Geschützen Modus", in dem die "Internet"-Zone des Internet Explorer unter Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig ausgeführt wird, schwerer ausnutzen lassen. Zusätzlichen Schutz soll die im Windows Internet Explorer 8 unter Windows XP SP3, Windows Vista SP1/SP2, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig aktivierte DEP (Data Execution Prevention / Datenausführungsverhinderung) bieten.
Microsoft arbeitet nach eigenen Angaben an einem Sicherheitsupdate. [1. Update] Weitere technische, englischsprachige Informationen finden sich im "Security Research & Defense"-Blog von Microsoft. Demnach funktioniert der derzeit bekannte Exploit Code zur Ausnutzung der Sicherheitslücke bislang ausschließlich bei Verwendung von Windows 2000 mit dem IE6SP1, sowie dem standardmäßig in Windows XP enthaltenen IE6. Für letztgenannten bietet die Aktivierung von DEP (Data Execution Prevention / Datenausführungsverhinderung) einen gewissen Schutz. Nach Informationen des von Microsoft unabhängigen "Internet Storm Centers" (ISC), ist der Exploit Code zur Ausnutzung der Sicherheitslücke zwischenzeitlich öffentlich verfügbar (siehe ISC-Blog). Gleiches bestätigt auch McAfee in seinem Security Insights Blog. Damit ist in aller Regel eine häufigere Ausnutzung der Sicherheitslücke zu erwarten. [/1. Update]
[2. Update] Es gibt bislang noch kein konkretes Datum für die Veröffentlichung des notwenig gewordenen Sicherheitsupdates. Aber es soll veröffentlicht werden, sobald die MS-internen Tests (auch auf Kompatibilität) abgeschlossen sind, wie Jerry Bryant in einem weiteren Eintrag auf dem MSRC-Blog mitteilt:
[3. Update]
Mittlerweile kündig Microsoft einem erneuten Eintrag auf dem MSRC-Blog an, dass das Sicherheitsupdate zum Schließen der Lücke am 21. Januar 2010 (ca. 19 Uhr MEZ) veröffentlicht werden soll. Zudem wurde das Security Advisory 979352 auf den aktuellen Stand gebracht. [/3. Update]
Abhilfe bis zur Beseitigung der Sicherheitslücke:
Microsoft empfiehlt das Heraufsetzen der Sicherheitsstufe für die "Internet" und "Intranet"-Zonen auf "Hoch" in den Internetoptionen über "Sicherheit -> Stufe anpassen". Damit wird das Ausführen von JavaScript in den jeweiligen "Zonen" durch den Internet Explorer unterbunden. Ebenfalls kommt unter Windows XP (sowie unter Windows Server 2003, Windows Vista und Windows Server 2008) ein Upgrade auf den Windows Internet Explorer 8 in Betracht.
Desweiteren empfiehlt Microsoft das Aktivieren von DEP (Data Execution Prevention / Datenausführungsverhinderung) für IE6 und IE7, wo dies möglich ist. Im MSKB-Artikel KB979352 findet sich eine halbautomatische "Fix it!"-Lösung zum De-/Aktivieren von DEP für IE6 und IE7 unter Windows XP (und Windows Server 2003, Windows Vista und Windows Server 2008).
[1. Update] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät in einer Pressemitteilung derzeit generell von der Benutzung jeglicher Internet Explorer-Versionen ab und stattdessen den Einsatz alternativer Browser (z.B. Mozilla Firefox oder Opera) an. [/1. Update]
Aus grundsätzlichen Erwägungen heraus sei auch an dieser Stelle erneut dringend geraten, nicht mit Adminrechten zu arbeiten und online zu gehen, sondern mit einem eingeschränkten Benutzerkonto! Siehe hierzu auch Technet-Artikel zum Thema "Benutzerrechte".
Diese Sicherheitslücke soll sich durch den "Geschützen Modus", in dem die "Internet"-Zone des Internet Explorer unter Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig ausgeführt wird, schwerer ausnutzen lassen. Zusätzlichen Schutz soll die im Windows Internet Explorer 8 unter Windows XP SP3, Windows Vista SP1/SP2, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig aktivierte DEP (Data Execution Prevention / Datenausführungsverhinderung) bieten.
Microsoft arbeitet nach eigenen Angaben an einem Sicherheitsupdate. [1. Update] Weitere technische, englischsprachige Informationen finden sich im "Security Research & Defense"-Blog von Microsoft. Demnach funktioniert der derzeit bekannte Exploit Code zur Ausnutzung der Sicherheitslücke bislang ausschließlich bei Verwendung von Windows 2000 mit dem IE6SP1, sowie dem standardmäßig in Windows XP enthaltenen IE6. Für letztgenannten bietet die Aktivierung von DEP (Data Execution Prevention / Datenausführungsverhinderung) einen gewissen Schutz. Nach Informationen des von Microsoft unabhängigen "Internet Storm Centers" (ISC), ist der Exploit Code zur Ausnutzung der Sicherheitslücke zwischenzeitlich öffentlich verfügbar (siehe ISC-Blog). Gleiches bestätigt auch McAfee in seinem Security Insights Blog. Damit ist in aller Regel eine häufigere Ausnutzung der Sicherheitslücke zu erwarten. [/1. Update]
[2. Update] Es gibt bislang noch kein konkretes Datum für die Veröffentlichung des notwenig gewordenen Sicherheitsupdates. Aber es soll veröffentlicht werden, sobald die MS-internen Tests (auch auf Kompatibilität) abgeschlossen sind, wie Jerry Bryant in einem weiteren Eintrag auf dem MSRC-Blog mitteilt:
Customers have been asking us when we will have an update available for this issue and if we will release the update out-of-band. We want to let customers know that we will release this security update as soon as the appropriate amount of testing has been completed. While we cannot yet give a date of when that will be we will keep customers updated.[/2. Update]
[3. Update]
Mittlerweile kündig Microsoft einem erneuten Eintrag auf dem MSRC-Blog an, dass das Sicherheitsupdate zum Schließen der Lücke am 21. Januar 2010 (ca. 19 Uhr MEZ) veröffentlicht werden soll. Zudem wurde das Security Advisory 979352 auf den aktuellen Stand gebracht. [/3. Update]
Abhilfe bis zur Beseitigung der Sicherheitslücke:
Microsoft empfiehlt das Heraufsetzen der Sicherheitsstufe für die "Internet" und "Intranet"-Zonen auf "Hoch" in den Internetoptionen über "Sicherheit -> Stufe anpassen". Damit wird das Ausführen von JavaScript in den jeweiligen "Zonen" durch den Internet Explorer unterbunden. Ebenfalls kommt unter Windows XP (sowie unter Windows Server 2003, Windows Vista und Windows Server 2008) ein Upgrade auf den Windows Internet Explorer 8 in Betracht.
Desweiteren empfiehlt Microsoft das Aktivieren von DEP (Data Execution Prevention / Datenausführungsverhinderung) für IE6 und IE7, wo dies möglich ist. Im MSKB-Artikel KB979352 findet sich eine halbautomatische "Fix it!"-Lösung zum De-/Aktivieren von DEP für IE6 und IE7 unter Windows XP (und Windows Server 2003, Windows Vista und Windows Server 2008).
[1. Update] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät in einer Pressemitteilung derzeit generell von der Benutzung jeglicher Internet Explorer-Versionen ab und stattdessen den Einsatz alternativer Browser (z.B. Mozilla Firefox oder Opera) an. [/1. Update]
Aus grundsätzlichen Erwägungen heraus sei auch an dieser Stelle erneut dringend geraten, nicht mit Adminrechten zu arbeiten und online zu gehen, sondern mit einem eingeschränkten Benutzerkonto! Siehe hierzu auch Technet-Artikel zum Thema "Benutzerrechte".
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Wird der patch demnach vor dem nächsten Patch-Day veröffentlicht? Weiss jemand mehr darüber?
#1
am
18.01.2010 11:02
Moin Kai,
zum derzeitigen Zeitpunkt hat MS noch nicht verlauten lassen, wann das notewendig gewordene Sicherheitsupdate veröffentlicht wird. Wenn ich also schreibe, dass ich es vor dem nächsten Patch-Day (09.02.2010) erwarte, handelt es sich dabei um reine Spekulation.
Bye,
Freudi
zum derzeitigen Zeitpunkt hat MS noch nicht verlauten lassen, wann das notewendig gewordene Sicherheitsupdate veröffentlicht wird. Wenn ich also schreibe, dass ich es vor dem nächsten Patch-Day (09.02.2010) erwarte, handelt es sich dabei um reine Spekulation.
Bye,
Freudi
Mittlerweile hat MS mitgeteilt, dass das Sicherheitsupdate außer der Reihe ("out-of-band") veröffentlicht werden wird, also nicht bis zum nächsten regulären Patchday gewartet wird:
http://blogs.technet.com/msrc/archive/2010/01/19/security-advisory-979352-going-out-of-band.aspx
Den genauen Veröffentlichungstermin will MS demnach heute (US-Zeit) mitteilen.
Bye,
Freudi
http://blogs.technet.com/msrc/archive/2010/01/19/security-advisory-979352-going-out-of-band.aspx
Den genauen Veröffentlichungstermin will MS demnach heute (US-Zeit) mitteilen.
Bye,
Freudi
Der Artikel hat gerade sein drittes Update erfahren. MS hat den (morgigen) 21. Januar 2010 als Veröffentlichungsdatum für das Sicherheitsupdate bekannt gegeben.
Bye,
Freudi
Bye,
Freudi
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Kurzbeschreibung: Wichtiges, kumulatives Sicherheitsupdate, das u.a. eine kritische Lücke im in Windows 7 standardmäßig enthaltenen Windows Internet Explorer 8 schließen soll, durch die ein [...]
Aufgenommen: 21.01.2010 17:52
Kurzbeschreibung: Wichtiges, kumulatives Sicherheitsupdate, das u.a. eine kritische Lücke im in Windows XP SP3 standardmäßig enthaltenen Internet Explorer 6 schließen soll, durch die ein [...]
Aufgenommen: 21.01.2010 18:02
Kurzbeschreibung: Wichtiges, kumulatives Sicherheitsupdate, das u.a. eine kritische Lücke in Internet Explorer 6 SP1 unter Windows 2000 schließen soll, durch die ein Angreifer in [...]
Aufgenommen: 21.01.2010 18:15
Kurzbeschreibung: Wichtiges, kumulatives Sicherheitsupdate, das eine kritische Lücke im Windows Internet Explorer 7 unter Windows XP schließen soll, durch die ein Angreifer in Windows-Systeme [...]
Aufgenommen: 21.01.2010 18:29
Kurzbeschreibung: Wichtiges, kumulatives Sicherheitsupdate, das u.a. eine kritische Lücke im Windows Internet Explorer 8 unter Windows XP schließen soll, durch die ein Angreifer in [...]
Aufgenommen: 21.01.2010 18:36