Start Empfohlen Neu veröffentlichter Windows-Fix adressiert sowohl neue als auch alte IE-Browser

Neu veröffentlichter Windows-Fix adressiert sowohl neue als auch alte IE-Browser

39
0


Alternatives Internet Explorer 8 IE8 Top-Story-AbzeichenIn den letzten Tagen haben Sicherheitsingenieure gewarnt, dass Variationen des öffentlich veröffentlichten Hydraq-Exploits für spätere Versionen des Internet Explorers entwickelt werden als für die kürzlich entdeckte Angriffswelle gegen Google und andere, IE6. Ein Sicherheitsforscher auf der „guten Seite“, Dino Dai Zovi, behauptete heute auf Twitter, er habe ein funktionsfähiges Derivat von Hydraq für IE7 und IE8 … irgendwie. Damit sie funktionieren, müssen zwei der berühmtesten Sicherheitsfunktionen von Windows 7 – Adressraum-Laderandomisierung und Datenausführungsverhinderung – zuerst manuell deaktiviert werden.

Die Realitätsnähe eines solchen Exploits veranlasste Microsoft jedoch, heute, wie gestern versprochen, sein Out-of-Band-Sicherheitsupdate für IE6, IE7 und IE8 zu veröffentlichen. Derzeit werden separate Updatepakete über Windows Update bereitgestellt und stehen ab sofort zum Download zur Verfügung.

Jerry Bryant, Senior Security Program Manager von Microsoft, teilte Betanews vor wenigen Augenblicken mit, dass es bisher nur Beweise für tatsächliche Hydraq-Angriffe auf den IE6 in freier Wildbahn gesehen habe. Wie Bryant seine Kunden gestern in einem Blog-Beitrag warnte, könnten jedoch theoretisch mehr als nur der Webbrowser angreifbar sein.

Insbesondere frühere Versionen anderer Microsoft-Software, einschließlich Outlook, Outlook Express und Windows Live Mail, die die mshtml.dll Rendering-Bibliothek zum Anzeigen von HTML-E-Mails, deren Standardsicherheitsstatus jedoch möglicherweise von Benutzern deaktiviert wurde (z. B. durch Aktivieren von ActiveX-Steuerelementen), könnte anfällig sein. Diese Benutzer sind möglicherweise nicht angreifbar, sagte Bryant, wenn ihre Sicherheitskonfigurationen in den empfohlenen Zuständen belassen werden. Outlook 2007 verwendet eine neuere Version der Bibliothek, sagte Bryant und ist daher überhaupt nicht sofort angreifbar.

Wenn jedoch Mutanten von Hydraq, die auf IE7 und IE8 funktionieren, jemals in freier Wildbahn ausgenutzt werden, könnten Benutzer ohne den heutigen IE-Patch (der auch diese Shared-Rendering-Bibliothek adressiert) in Schwierigkeiten geraten. Bis vor kurzem haben Dritte, die auf Probleme von Lesern und Kunden bezüglich aufgetretener Softwareinkompatibilitäten reagierten, ihnen geraten, DEP auszuschalten.

Manchmal musste das Problem selbst nicht im Detail erklärt werden; Veröffentlichungen und Dienste empfohlen haben, schalten Sie DEP aus und sehen Sie, ob das funktioniert. „Benutzer, die bei der Verwendung von Office-Anwendungen Probleme haben, können den folgenden Trick verwenden, um DEP für Office-Anwendungen zu deaktivieren und zu deaktivieren“, heißt es in einem Beitrag auf MyDigitalLife.info vom letzten August.

Microsoft schlägt natürlich weiterhin vor, DEP eingeschaltet zu lassen, und erklärt, dass Software-Inkompatibilitäten, denen Benutzer ausgesetzt sein könnten, viel weniger schwerwiegend sind, als einem kritischen Exploit ausgesetzt zu sein.

Wie Dino Dai Zovi seinen Followern heute auf Twitter sagte: „Im Moment funktioniert mein Exploit gegen IE7 unter Vista mit ASLR, aber ohne DEP, aber nicht gegen IE8 mit ASLR + DEP.“ Später fügte er hinzu: „Mein Exploit funktioniert auf allen IE-Zielen mit keinem oder einem von DEP und ASLR, aber nicht, wenn beide verwendet werden.“

Obwohl die Nutzlast von Hydraq – eine wahre Kommunikationsplattform für den heimlichen Diebstahl geistigen Eigentums – eine der ausgeklügelteren Nutzlasten ist, auf die einige Sicherheitsforscher gestoßen sind, wurde gesagt, dass das Paket, in dem sie geliefert wird, überhaupt nicht ausgereift ist. Das könnte ein Grund sein, warum Microsoft dieses Problem so schnell beheben konnte, nur zwei Wochen nachdem Google Microsoft offenbar über seine Existenz informiert hatte.

Im Guten wie im Schlechten wurde der Quellcode einer Version von Hydraq (die möglicherweise die beim Google-Angriff verwendete Version ist) letzte Woche von Studenten veröffentlicht, die mit dem Malware-Analysedienst Wepawet an der University of California in Santa Barbara arbeiten . Marco Cova ist einer dieser Studenten. Heute Morgen sagte Cova gegenüber Betanews, dass der Mangel an Raffinesse, der für Hydraq erforderlich ist, um seinen ausgeklügelten Stealth-Service bereitzustellen, selbst als hoch entwickelt angesehen werden sollte.

„Ich würde sagen, dass der Angriff technisch ausgereift war, vor allem, weil er, soweit ich weiß, auf eine bisher unbekannte Schwachstelle abzielte und nicht auf einen der bekannten Exploits, die in beliebten Exploit-Paketen implementiert sind“, sagte Cova . „Die Angriffstechniken selbst (die Shellcode-Injektion usw.) sind gut bekannt; daher wäre die Neuheit hier zu wissen oder zu finden, was angegriffen werden soll, anstatt wie anzugreifen.“

Cova sprach die Möglichkeit an, dass sich die Angreifer von Google nicht aus Bequemlichkeit für IE6 entschieden haben, sondern weil sie wussten, welche Systeme sie angreifen würden weil es ein ausgeklügeltes Wissen über seine Ziele nutzt (wer soll wie angesprochen werden usw.). Ob dies der Fall ist, kann von jemandem bei Google besser beurteilt werden.“



Vorheriger ArtikelSicherheitsbericht: Webbenutzer wählen Passwörter, die viel zu leicht zu hacken sind
Nächster ArtikelUbuntu Linux 21.10 herunterladen

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein