The Howling Mines | Critical Role | Campaign 2, Episode 6
Eine neu entdeckte Bedrohung, die noch keinen Patch hat, kann laut Sicherheitsunternehmen einen webbasierten Angriff auf aktuelle Internet Explorer 6 und 7 Browser ermöglichen.
Beide Symantec und Vupen Security haben Warnungen über den Fehler veröffentlicht, der die Art und Weise betrifft, wie der IE Cascading Stylesheets oder CSS behandelt. Laut den Beiträgen würde das Durchsuchen einer Website mit eingebettetem Angriffscode den Angriff auslösen. Die Website könnte eine speziell erstellte bösartige Website sein oder eine solche, die entführt und mit dem Angriffscode versehen wurde.
Laut Vupens Beitrag betrifft der Fehler sowohl IE 6 als auch 7 auf einem vollständig gepatchten XP SP3-Computer und könnte laufen Jeder Befehl auf einem anfälligen System, z. B. die Installation von Malware. Es gibt noch keine Berichte über aktive Angriffe, aber Exploit-Code ist öffentlich verfügbar.
[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]Symantecs Post sagt, dass seine Tests bestätigen, dass der veröffentlichte Exploit funktioniert, aber das es "weist Anzeichen von geringer Zuverlässigkeit auf", d. Es funktioniert nicht immer. Eine zusätzliche E-Mail von Symantec besagt, dass auch Vista betroffen ist, Microsoft hat die Sicherheitsanfälligkeit jedoch noch nicht bestätigt.
Null-Tage, die den IE betreffen, sind in der Regel schwerwiegende Bedrohungen. Angreifer fangen daher wahrscheinlich an, Angriffe zu verstecken, die diesen Fehler beheben kompromittierte Websites und das Austeilen von E-Mails und Online-Kommentaren mit Links zu Websites, die Angriffe enthalten.
Laut Vupen wird die Deaktivierung von Active Scripting in den Sicherheitszonen Internet und Lokales Intranet Angriffe gegen diesen Fehler blockieren wahrscheinlich blockieren Website-Funktionalität auch. Aktuelle Berichte listen den IE 8 nicht als anfällig auf, aber Symantec warnt, dass "möglicherweise andere Versionen von IE und Windows ebenfalls betroffen sind". Am besten ist es, einen alternativen Browser wie Firefox zu verwenden, bis ein Patch verfügbar ist.
Update (1:55 pm) : Microsoft hat bestätigt, dass die Sicherheitslücke Internet Explorer 6 und Internet Explorer 7, jedoch nicht Internet Explorer 8 betrifft. Das Unternehmen gibt an, dass es derzeit keine bestehenden Angriffe auf den Fehler bemerkt und könnte nach Abschluss der Untersuchung einen Out-of-Band-Patch veröffentlichen.
Adobe Reader, IE 7 Löcher unter Beschuss
Plus: Lesen Sie über neue Fehler in Firefox, RealPlayer und Visio und deren Korrekturen.
April Shower kritischer Microsoft-Fixes
Redmond hat heute eine große Anzahl von April-Patches veröffentlicht, um eine Reihe ernsthafter Sicherheitslücken zu schließen.
Weitere Löcher im SSL-Sicherheitsprotokoll von Web gefunden
Forscher haben in Programmen, die das SSL-Protokoll verwenden, weitere Fehler gefunden.