In dem Sicherheitshinweis ADV200001 vom Freitagabend weist Microsoft auf die Zero-Day-Schwachstelle im Internet Explorer hin. In der vom Internet Explorer verwendeten JScript Scripting Engine gibt es einen Bug, der bei der Verarbeitung von Script-Objekten zu einem Speicherfehler (Memory Corruption) führen kann. Microsoft listet im Sicherheitshinweis den Internet Explorer in den Versionen 9 bis 11 unter allen noch mit Updates versorgten Windows-Versionen (Clients und Server) auf. Die Einstufung wird dabei, abhängig von der Windows-Version, als moderat oder kritisch angegeben.
Angreifer können bei Ausnutzung der Schwachstelle dieselben Rechte wie der angemeldete Benutzer erlangen. Deswegen wird die Lücke von moderat (Gastkonto) bis kritisch (Administratorrechte) bewertet. Die Schwachstelle ist ebenfalls in älteren Versionen des Internet Explorers vorhanden, wird dort jedoch nicht mehr mit Sicherheitsupdates versorgt. Im Idealfall wechselt Ihr euren Browser auf den Microsoft Edge, welcher nun mit Chromium Unterbau auch für Windows 7 und Windows 8.x zur Verfügung steht.
ADV200001 | Microsoft-Hinweis zur Skriptmaschinen-Speicherkorruptionsschwachstelle:
- Eine Sicherheitsanfälligkeit bei der Remotecodeausführung besteht in der Art und Weise, wie die Skripting-Engine Objekte im Speicher von Internet Explorer behandelt. Die Sicherheitsanfälligkeit könnte den Speicher so beschädigen, dass ein Angreifer beliebigen Code im Kontext des aktuellen Benutzers ausführen kann. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte die gleichen Benutzerrechte wie der aktuelle Benutzer erhalten. Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, könnte ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.
