Im Rahmen des jährlich von der Zero Day Initative beziehungsweise deren Mutter (HP Tipping Point) veranstalteten Hacker-Wettbewerbs Pwn2Own hat der Sicherheitsexperte Stephen Fewer eine Lücke im Internet Explorer erfolgreich ausgenutzt, um die Windows-Maschine (Windows 7, 64bit, Service Pack 1) zu übernehmen.

 

Microsoft-Vertreter waren während des Wettbewerbs anwesend und konnten schnell ausmachen, dass weder der derzeit aktuelle Release Candidate des Internet Explorer 9, noch die für den 14. März erwartete finale Version von den Schwachstellen betroffen sind.

 

Noch liegen Microsoft keine näheren Details zur Schwachstelle vor, so dass keine Ratschläge zum Eindämmen des Risikos gegeben werden können. Nachdem die Schwachstellen aber nicht öffentlich sind, ist auch nicht mit aktiven Angriffen auf die Lücken zu rechnen.

 

Wie die US-Nachrichtenseite ZDnet berichtet, fand Fewer im Vorfeld des Wettbewerbs offenbar zwei Zero-Day-Exploits im Internet Explorer 8, so dass er seinen Angriffscode ausführen konnte. Mit Hilfe einer dritten Schwachstelle brach er aus der Sandbox des Protected Modes von Internet Explorer 8 aus. Es gelang dem Hacker dabei auch, die Windows-Sicherheitsmechanismen DEP (Data Execution Prevention) and ASLR (Address Space Layout Randomization) zu umgehen.

 

Microsoft wird die in Internet Explorer 9 bereits enthaltenen Verbesserungen auch für die Vorgängerversionen in Form eines Sicherheitsupdates bereitstellen. Nachdem es nur noch wenige Tage bis zur Veröffentlichung des IE9 sind, empfiehlt Microsoft allen Anwendern den Umstieg auf die neue Version des Browsers, um sofort gegen ein eventuelles Risiko geschützt zu sein.

 

 Als Sponsor des Pwn2Own-Wettbewerbs begrüßt Microsoft die Art und Weise, wie die ZDI mit den entdeckten Lücken umgeht: Alle Informationen über die Schwachstellen werden nur dem betreffenden Hersteller mitgeteilt, so dass dieser geeignete Gegenmaßnahmen entwickeln und testen kann.