Skip to content

ZDI veröffentlicht vier 0-Day-Schwachstellen im Internet Explorer

Die Zero Day Initiative (ZDI) hat vier 0-Day-Schwachstellen im Internet Explorer veröffentlicht. Das passiert automatisch 120 Tage, nachdem die Schwachstelle den betreffenden Hersteller gemeldet wurde, sofern die Schwachstelle nicht zuvor gepatcht wurde. Microsoft hat diese Frist sowie eine zugestandene Verlängerung bei diesen vier Schwachstellen ungenutzt verstreichen lassen:

Update 24. Juli:
ZDI hat die Advisories gestern überarbeitet: Es ist nur die Mobile-Version des IE betroffen und nicht wie ursprünglich gemeldet auch die Desktop-Version. In der hat Microsoft die Schwachstellen bereits behoben.
Ende des Updates

  • ZDI-15-359: Ein im Rahmen des Wettbewerbs "Mobile Pwn2Own" entdeckter Out-Of-Bounds-Speicherzugriff in der Funktion CTableLayout::AddRow erlaubt die Ausführung beliebigen Codes.
  • ZDI-15-360: Eine Use-after-Free-Schwachstelle in CAttrArray erlaubt die Ausführung beliebigen Codes.
  • ZDI-15-361: Eine Use-after-Free-Schwachstelle in CCurrentStyle erlaubt die Ausführung beliebigen Codes.
  • ZDI-15-362: Eine Use-after-Free-Schwachstelle in CTreePos erlaubt die Ausführung beliebigen Codes.

Weitere Informationen sind bisher nicht bekannt, auch die CVE-IDs der Schwachstellen wurden noch nicht veröffentlicht.

Es gibt bisher auch weder öffentliche Proof-of-Concepts für die Schwachstellen noch Angriffe darauf. Was sich aber durchaus schnell ändern kann, nachdem nun bekannt ist, wo sich die Suche nach Schwachstellen lohnt. Andererseits sind die Schwachstellen Microsoft bekannt und Patches in Arbeit, sollte es also zu Angriffen kommen dürften Workarounds und Patches nicht lange auf sich warten lassen.

Carsten Eilers

Trackbacks

Keine Trackbacks