Microsoft hat am kurzfristig angekündigten außerplanmäßigen "IE-Patchday" ein Security Bulletin zum Internet Explorer veröffentlicht. Außer der aktuellen 0-Day-Schwachstelle werden neun weitere, vertraulich gemeldete Schwachstellen behoben.

Die 0-Day-Schwachstelle

Die 0-Day-Schwachstelle, die nur den IE 6 und 7 betrifft, wird immer stärker ausgenutzt. Nachdem anfangs nur gezielte Angriffe gemeldet wurden, wurde der Exploit sehr schnell im Internet veröffentlicht, aktuell berichtet Microsofts Malware Protection Center über Angriffe auf Rechner in über 50 Ländern, wobei die meisten Angriffe auf Rechner in China (80%) und Korea (11%) beobachtet wurden. Platz 3 nehmen die USA mit 5% der Angriffe ein, während auf die restlichen Länder nur 4% der Angriffe entfielen. Eine Übersicht im Blog der McAfee Labs zeigt eine etwas andere Verteilung, demnach sind auch Europa und die USA stark betroffen.

Microsoft weist im Security Bulletin darauf hin, dass ggf. durchgeführte Workarounds rückgängig gemacht werden müssen. Dazu kann im Fall der iepeers.dll- und DEP-Workarounds die entsprechende Funktion des Online-Tools verwendet werden.

Auffallend ist, dass Microsoft für die 0-Day-Schwachstelle 'ADLab of VenusTech' als Entdecker angibt. Da Microsoft nur die Entdecker vertraulich gemeldeter Schwachstellen durch die Nennung ihres Namens ehrt, spricht dass dafür, dass Microsoft auch diese Schwachstelle wie die 0-Day-Schwachstelle aus dem Januar bereits vor ihrer Ausnutzung bekannt war.

Die neuen Schwachstellen

Alle 9 neuen Schwachstellen wurden Microsoft vertraulich gemeldet. Wie man am Beispiel der für die Angriffe auf Google und andere Unternehmen verwendeten Schwachstelle sehen konnte, bedeutet das nicht, dass so eine Schwachstelle nicht auch von Kriminellen entdeckt und ausgenutzt wird, darüber ist diesmal aber nichts bekannt.

Die Schwachstellen betreffen insgesamt alle Versionen des IE unter allen unterstützten Windows-Versionen, bis auf zwei der Schwachstellen erlauben sie die Ausführung beliebigen Codes. Eine Schwachstelle erlaubt das Ausspähen sensitiver Informationen (CVE-2010-0488), eine Cross-Domain-Zugriffe (CVE-2010-0494), die aber laut Übersicht im IE 6 SP1 unter Windows 2000 SP4 auch die Ausführung beliebigen Codes erlauben. Auch in der grafischen Übersicht im Security Response Center Blog wird diese Schwachstelle für den IE 6 als kritisch markiert. In der Beschreibung der Schwachstelle ist davon aber nicht die Rede.

Interessant ist die Verteilung der 10 Schwachstellen auf die Browser:

• Der IE 8 ist von 3 Schwachstellen betroffen: Zwei kritischen und einer wichtigen.
• Der IE 7 ist von 7 Schwachstellen betroffen: Fünf kritischen und zwei wichtigen.
• Der IE 6 ist von 8 Schwachstellen betroffen: Sieben kritischen, darunter die im IE 7 und 8 nur als wichtig eingestuften Cross-Domain-Zugriffe, und einer wichtigen.

iDefense hat für eine der Schwachstellen bereits ein eigenes Advisory veröffentlicht. Weitere Entdecker werden sicher ebenfalls eigene Advisories veröffentlichen, die dann in den unten verlinkten Einträgen im Bereich "Security aktuell" eingefügt werden.

Die 'Pwn2Own'-Schwachstelle

Die von Peter Vreugdenhil im Rahmen des Pwn2Own-Wettbewerbs ausgenutzte Schwachstelle im Internet Explorer 8 wird von Microsoft noch untersucht, dementsprechend gibt es keinen Patch dafür. Vreugdenhil darf aufgrund der Wettbewerbsregeln keine Details über die Schwachstelle veröffentlichen, er hat aber die verwendeten Techniken in einem Paper beschrieben: "Pwn2Own 2010 Windows 7 Internet Explorer 8 exploit" (PDF).

Fazit

Da die 0-Day-Schwachstelle bereits für Angriffe ausgenutzt wird, sollten die Patches schnellstmöglich installiert werden. Diesmal erübrigt sich auch die Frage, welche Patches zuerst dran sind, da nur der IE gepatcht wurde. Jedenfalls von Microsoft: Wer unter Windows iTunes und/oder QuickTime einsetzt, kann nach der Installation der IE-Patches gleich mit den von Apple veröffentlichten Updates für iTunes und QuickTime weiter machen, die beide ebenfalls einige Schwachstellen beheben, die die Ausführung beliebigen Codes erlauben. Beide Updates betreffen übrigens auch Mac-Benutzer - und das, obwohl Apple am Montag gerade erst einen ganzen Berg an Schwachstellen in Mac OS X behoben hat.

Carsten Eilers

Übersicht der Meldungen auf 'Security aktuell':

• Die 0-Day-Schwachstelle
• Die "neuen" Schwachstellen