Microsoft patcht zwei(!) 0-Day-Schwachstellen im IE
Microsoft hat am heutigen Patchday gleich zwei 0-Day-Schwachstellen im Internet Explorer behoben: Das "Cumulative Security Update for Internet Explorer" MS13-080 enthält unter anderem einen Patch für die seit Mitte September bekannte 0-Day-Schwachstelle CVE-2013-3893 sowie auch für die Schwachstelle mit der CVE-ID CVE-2013-3897, die bereits für gezielte Angriffe auf den Internet Explorer 8 ausgenutzt wird. Und so eine Schwachstelle bezeichnet man ja allgemein als 0-Day-Schwachstelle. Das ist dann schon die 4. 0-Day-Schwachstelle im IE in diesem Jahr und die 16. 0-Day-Schwachstelle insgesamt.
Was ist über die neue Schwachstelle bekannt?
Über die Schwachstelle CVE-2013-3897 gibt es bisher nur wenige
Informationen. In Microsofts Security Research & Defense Blog
erfährt man,
dass es eine "unexpected use-after-free"-Schwachstelle ist.
Bei Microsoft gibt es also auch erwartete Schwachstellen? Das finde ich ja
sehr interessant. Ausgenutzt wird die Schwachstelle über den
onpropertychange-Event-Handler. Entdeckt wurde der Exploit
für diese Schwachstelle auf einer Analyse-Website für JavaScript.
Der Exploit ist vermutlich seit Mitte September im Umlauf und funktioniert
nur im IE 8 unter Windows XP mit Koreanischer und Japanischer
Spracheinstellung.
Die Trustwave SpiderLabs haben den Exploit entdeckt. Der Exploit zielt zwar auf den IE 8 unter Windows XP, ist mit geringen Anpassungen aber auch unter Windows 7 lauffähig. Der eingeschleuste Schadcode prüft, ob bestimmte Antivirenprogramme auf dem angegriffenen Rechner laufen und versucht unter anderem, Zugangsdaten für Online-Spiele auszuspähen. Außerdem werden Zugriffe auf bestimmte koreanische Banken auf anderen Websites umgeleitet. Das sieht ganz und gar nicht wie ein gezielter Angriff aus, wenn man mal davon absieht, dass er auf koreanische und japanische Benutzer abgestimmt ist.
Eine sehr interessante Information liefert Wolfgang Kandek von Qualys: Die Schwachstelle war von Microsoft bereits intern entdeckt worden, der Patch sollte sowieso an diesem Patchday veröffentlicht werden. Als in den vergangenen zwei Wochen die Angriffe bekannt wurden war der Patch schon fertig. Wäre es zu größeren Angriffen gekommen, hätte er also auch außer der Reihe veröffentlicht werden können. Wir haben es also mal wieder mit einer Schwachstelle zu tun, die von mehreren Personen parallel entdeckt wurde. Aber das hatten wir ja schon öfter, zum Beispiel auch bei der 0-Day-Schwachstelle im IE, die im Rahmen der Operation Aurora für Angriffe auf Google und weiter Unternehmen ausgenutzt wurde. Damals zog Microsoft ein sowieso zur Veröffentlichung am kommenden Patchday vorgesehenes Update vor, um die Schwachstelle außer der Reihe zu schließen. Das hielt man diesmal aber nicht für nötig.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2013 im Überblick
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : IE: Ein 0-Day-Exploit für zwei Angriffe?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu diesem und jenem, aber alle mit Sicherheitsbezug!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Der 0-Day-Patchday am 10.12.2013: 4x Microsoft, 1x Adobe
Vorschau anzeigen