16.05.2016: Es gibt ein paar Aktualisierungen auf unserem Blog! Die Underground Suchmaschine mit welcher ihr Seiten wie die Boerse oder Mygully durchsuchen könnt, wurde komplett überarbeitet. Die XXX Stream Liste wurde aktualisiert, tote Links mit neuen ersetzt, das gleiche gilt für die MP3 Suchmaschinen und die Liste mit den Android Apps wurde ebenfalls erweitert.

VUPEN Security: Mehrere Lücken im Internet Explorer entdeckt

Das französische Sicherheitsunternehmen Vupen hat auf dem Hackerwettbewerb "Pwn2Own 2012" zwei Sicherheitslücken im Internet Explorer ausgenutzt. Durch die zwei Zero-Day-Lücken kann ein potenzieller Angreifer einen Windows 7 Rechner vollständig übernehmen. Betroffen sind laut Vupen alle Versionen des Internet Explorer - ab Version 6. Auch die in der Consumer Preview von Windows 8 enthaltene Vorabversion des Internet Explorer 10 sei anfällig.

Nach Angaben der Sicherheitsexperten ist es lediglich erforderlich, ein Opfer auf eine manipulierte Website zu locken. Daraufhin kann unbemerkt im Hintergrund Schadsoftware auf dem betroffenen System installiert werden. Auch ein vollständig aktualisiertes Windows-7-System mit Internet Explorer 9 ist von den beiden Zero-Day-Lücken betroffen. Laut Chaouki Bekrar (Vupen-Gründer) stecken die Fehler bereits in Internet Explorer 6. Zudem hat man noch weitere Lücken gefunden über die bisher nicht weiter gesprochen wurde.

Das französische Sicherheitsunternehmen verwendete einen Heap-Überlauf, um die in Windows integrierten Sicherheitsfunktionen DEP (Data Execution Prevention) sowie ASLR (Address Space Layout Randomization) zu umgehen. Zudem konnte man mit einem separaten Speicherfehler, auch den geschützten Modus des Internet Explorers aushebeln.

Vupen kündigte auf dem Hacking Contest an, dass man im Fall eines Siegs, nur eines der beiden Exploits veröffentlichen werde. Konkret geht es dabei um den Heap-Überlauf. Informationen zu der Lücke im geschützten Modus werde man nur den eigenen Kunden zur Verfügung stellen.

Da derzeit noch nicht viel über die Sicherheitslücken bekannt ist, ist es eher unwahrscheinlich dass diese ausgenutzt werden. Selbst das Sicherheitsunternehmen war sechs Wochen lang damit beschäftigt die Lücken zu finden. Sollten die Experten auf dem Contest erfolgreich sein, muss Microsoft wohl damit rechnen, dass ein Großteil der Fehler ohne genaues Vorwissen behoben werden muss.

Da im Internet Explorer immer wieder Sicherheitslücken gefunden werden, und diese von Microsoft oftmals erst sehr spät geschlossen werden, empfehlen wir auf alternative Browser umzusteigen:

Mozilla Firefox: Kostenloser Browser mit tollen Erweiterungen
Google Chrome: Der schnelle schlanke Google Browser
Opera: Edel-Browser für die Nische
Safari: Apple Browser für Mac und PC

Tags: lücke loch exploit, explorer zero microsoft, security hack hacker, sicherheit vulnerability

Keine Kommentare:

Kommentar veröffentlichen

ACHTUNG: Anonyme Kommentare werden nicht freigeschaltet! Bitte wählt aus der Dropdown-Liste "Name/URL" anstatt "Anonym". Mit "Name/URL" bleibt ihr ebenfalls anonym, jedoch kann so zwischen User A und User B unterschieden werden.

Gültige HTML-Tags: <a href="LINK">LINK TITEL</a> | <b>BOLD</b> | <i>KURSIV</i>