Skip to content

Microsoft aktualisiert Security Bulletin: Erneut 0-Day-Schwachstelle im IE

Microsoft hat das am 9. Juli veröffentlichte Security Bulletin MS13-055 für den Internet Explorer aktualisiert: Die Schwachstelle CVE-2013-3163 wird im Rahmen gezielter Angriffe ausgenutzt, betroffen ist konkret der IE 8. Wir haben es also mal wieder mit einem 0-Day-Exploit zu tun, der im Rahmen gezielter Angriffe ausgenutzt wird. Den 15. für dieses Jahr.

Kaum ausgenutzt, schon behoben - Pech für die Angreifer

Bekannt waren Microsoft die Angriffe mit einem mutmaßlichen 0-Day-Exploit schon seit dem Wochenende. Dass es sich bei der ausgenutzten Schwachstelle um die am regulären Juli-Patchday behobene Schwachstelle CVE-2013-3163 handelt, fand man anscheinend erst nach der Veröffentlichung des Security Bulletins heraus, denn sonst hätte man das ja gleich rein schreiben können.

Die Angreifer haben also diesmal Pech mit der Wahl ihrer 0-Day-Schwachstelle gehabt, denn die war auch von Jose Antonio Vazquez Gonzalez gefunden und über VeriSigns iDefense Labs an Microsoft gemeldet worden. Was mal wieder beweist, dass die vertrauliche Meldung einer Schwachstelle nicht vor Angriffen durch Dritte schützt. Jede Schwachstelle kann von beliebig vielen Parteien gefunden werden. Wenn eine davon sie dann nicht meldet, sondern ausnutzt oder auf dem Schwarzmarkt verkauft, ist das im Allgemeinen Pech für die Opfer. Diesmal gucken mal die Angreifer in die Röhre, die hätten sicher gerne noch einige Zeit auf einen Patch verzichtet.

Bisher wenige Fakten bekannt

Bisher gibt es nur eine Quelle für Informationen zur Schwachstelle: Einen am 10. Juli veröffentlichten Eintrag in Microsofts Security Research & Defense Blog. Der Exploit nutzt eine Flash-Datei (SWF), um den Angriff vorzubereiten. Der darin enthaltene ActionScript-Code reserviert bestimmte Objekte im Speicher so, dass danach eine über die IE-Schwachstelle ausgelöste Speicherkorrumpierung dazu führt, dass der ActionScript-Code unsicheren Zugriff auf Speicherbereiche erhält. Die aktivierten Schutzmaßnahmen ASLR (Address Space Layout Randomisation) und DEP (Data Execution Prevention) werden dabei umgangen.

Der eingeschleuste Schadcode versucht, die Datei pageerror.gif zu laden, an die ein verschlüsseltes und komprimiertes Schadprogramm angehängt ist. Was dass dann macht, hat Microsoft nicht verraten. Und die Antivirenhersteller haben sich bisher nicht zur Schwachstelle oder dem Angriff darauf geäußert.

Wie üblich gilt also: Installieren Sie den Patch, bevor der Exploit für die Schwachstelle irgendwo auftaucht. Denn dann dauert es nicht mehr lange, bis er in den Exploitkits integriert ist und im Rahmen von Drive-by-Infektionen genutzt wird.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Eine 0-Day-Schwachstelle, die kaum einen interessiert?

Vorschau anzeigen
Da gibt es eine neue 0-Day-Schwachstelle, und kaum jemand interessiert sich dafür? Was ist los, sind 0-Days dieses Jahr so üblich geworden, dass eine weitere keine besondere Beachtung mehr verdient? Jedenfalls sind die Antivirenherst