News

Interessante IE-Sicherheitspatches am Patch-Dienstag

Am Dienstag hat Microsoft anlässlich seines monatlichen Patchdays wieder ein ganzes Arsenal an Sicherheits-Updates veröffentlicht – zwölf insgesamt, um genau zu sein. Mit zwei der wichtigeren Patches werden Sicherheitsanfälligkeiten im Internet Explorer geschlossen: Die erste Internet Explorer-Schwachstelle, in der XSS-ähnliche Ergebnisse auf Grund einer Schwachstelle im Browser-Code festgestellt wurden, ist unter der Bezeichnung CVE-2011-0096 dokumentiert.

Die Bereitstellung des Patches erfolgt elf Tage nach Veröffentlichung der Sicherheitsempfehlung von Microsoft, in der zusammen mit einem „Fix-it“-Installer einige Abhilfemaßnahmen empfohlen wurden. Und 24 Tage nach dem Erscheinungsdatum des chinesischen E-Zine. Ursprünglich wurde der Bericht von dem Autor d4rkwind verfasst und in der 5. Ausgabe des chinesischen Magazins „Ph4nt0m Webzine 0x05″ veröffentlicht.

All jene, die kein Freund von Online-Übersetzung einer Website sind, haben die Möglichkeit, hier interessante Informationen über das Exploit abzurufen.

Microsofts CVE-Eintrag besagt: „Der MHTML-Protokoll-Handler in Microsoft Windows XP SP2 und SP3, Windows Server 2003 SP2, Windows Vista SP1 und SP2, Windows Server 2008 Gold, SP2 und R2 sowie Windows 7 interpretiert die MIME-formatierten Anforderungen für Inhaltsblöcke innerhalb eines Dokuments nicht korrekt, wodurch Remote-Angreifer Attacken mit siteübergreifender Skripterstellung (XSS) über eine entsprechende präparierte Website, die im Internet Explorer besucht wird, ausführen können.“

Die Veröffentlichung der Microsoft-Sicherheitsempfehlung (nicht des Bulletins) erfolgte am 28.01.2011, am letzten Freitag im Januar.

Am 28. Januar tauchte im Blog des Microsoft Security Research & Defense Teams ein Blogpost auf, der sie als „MHTML Script Injection“ beschrieb. „Für jeden Dienst, bei dem ein User-Input auf den Benutzer reflektiert werden kann, besteht ein gewisses Risiko. Dennoch sind die Auswirkungen eines Skripts, das in einen Dienst eingeschleust wurde, davon abhängig, wie der Dienst an sich implementiert wird. Daher handelt es sich bei den Auswirkungen zwar ein um Problem bezüglich der serverseitigen siteübergreifenden Skripterstellung, jedoch ist die Sicherheitsanfälligkeit clientseitig zu finden.“

Zwischenzeitlich stellte Microsoft eine „Fix-it“-Lösung bereit. Am 27. Januar von Microsoft digital erstellt, wurde sie am 28. Januar gepostet bzw. öffentlich zur Verfügung gestellt. Bei der Datei „MicrosoftFixit50602.msi“ handelte es sich um eine 649kb-Datei, die eine automatisierte Konfiguration der empfohlenen Problemumgehung durchführt, d.h. die Aktivierung der MHTML-Protokollsperrung, um die Ausführung von Skripts, wie Javascript, zu unterbinden. Die Ausführung des Fix-it involviert einige kleinere Nachteile: „Auswirkungen der Problemumgehung: Das MHTML-Protokoll wird eingeschränkt, um den Start des Skripts in allen Zonen innerhalb eines MHTML-Dokuments zu verhindern. Jede Anwendung, die MHTML verwendet, wird von dieser Problemumgehung betroffen sein. Skript in standardmäßigen HTML-Dateien ist nicht von dieser Problemumgehung betroffen.“ Da das Sicherheitspatch in der Zwischenzeit bereitgestellt wurde, können Nutzer, die die Fix-it-Lösung nicht in Anspruch genommen haben, diese ignorieren und das Patch installieren:

Interessant ist weiterhin die Sicherheitslücke im IE CSS Parser, die mittels eines neues Eleonore Exploit Pack Release, Version 6.3a, das am Tag 0 für über $2,000 verkauft wurde und einige neue Exploits sowie eine interessante Anti-Research- und -Nachverfolgungsfunktionalität beinhaltet, aktiv ausgenutzt wurde. Das Sicherheitsrisiko wurde von einem chinesischen Forscher bereits mindestens Ende November an die Öffentlichkeit gebracht.

Während dieser Blogeintrag geschrieben wird, hat auch Adobe einige relevante Patches veröffentlicht und darf sich ebenfalls im Club willkommen fühlen.

Interessante IE-Sicherheitspatches am Patch-Dienstag

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach