Zero-Day-Lücke im Internet Explorer im Visier von Cyberkriminellen

2. Oktober 2013, 13:03
10 Postings

Integration ins Metasploit-Framework erlaubt einfache Ausnutzung

Das Framework Metasploit, das für das gezielte und einfache Zusammenstecken von kompromittierenden Webseiten verwendet wird, kann nun auch eine neu entdeckte Lücke im Internet Explorer ausnützen. Betroffen sind alle Windows-7-Systeme, auf welchen sich der Internet Explorer 9 sowie Office 2007 oder 2010 finden.

Wie Heise erklärt, nutzt der Angriff Teile des Help Data Service Module von Office, um Sicherheitsmechanismen von Windows zu umschiffen. Auf diese Art und Weise kann Schadcode mit den Rechten des Browser-Nutzers am Zielsystem ausgeführt werden.

Versionen 6 bis 11 betroffen

Laut Microsoft wird die Lücke aktuell nur beschränkt und gezielt ausgenutzt. Die Integration in Metasploit öffnet die Schwäche aber auch weniger gewieften Cyberkriminellen. Betroffen sind grundsätzlich alle Versionen des Browsers ab Version 6, für alle anderen außer Version 9 gibt es aber aktuell offenbar noch keine einfachen Exploits.

 Das Leck kann mit einem von Microsoft veröffentlichten "Fix-it-Tool" vorläufig gestopft werden. Die tatsächliche Behebung soll am 8. Oktober im Rahmen des nächsten Patchday erfolgen. (red, derStandard.at, 02.10.2013)

  • Die Zerso-Day-Lücke des Internet Explorers kann nun auch via Metasploit ausgenutzt werden.
 

    Die Zerso-Day-Lücke des Internet Explorers kann nun auch via Metasploit ausgenutzt werden.

     

Share if you care.