ActiveX-Lücke

Weitere IE-Schwachstelle veröffentlicht

Neben dem als kritisch eingestuften CSS-Fehler in allen Versionen des Internet Explorer hat dessen Entdecker eine weitere 0-Day-Lücke im IE veröffentlicht. Sie betrifft eine ActiveX-Komponente, die jedoch standardmäßig nicht installiert ist.

Kurz vor Weihnachten hat ein chinesischer Sicherheitsforscher zwei Sicherheitslücken im Internet Explorer veröffentlicht, gegen die es von Microsoft bislang noch kein Update gibt. Neben der von Microsoft als kritisch eingestuften CSS-Lücke steckt eine zweite Schwachstelle in einem ActiveX-Steuerelement. Damit soll das Einschleusen von Code möglich sein.

Die wie die CSS-Lücke auf der Website WooYun.org mitsamt Demo-Exploit veröffentlichte Schwachstelle ist nur ausnutzbar, wenn die Microsoft WMI Administrative Tools (WMI: Windows Management Instrumentation) installiert sind. Darin ist die anfällige ActiveX-Komponente "WBEMSingleView.ocx" enthalten. Dieser WMI Object Viewer enthält die Funktionen AddContextRef() und ReleaseContext(), denen ein Zeiger auf ein Objekt übergeben werden kann, was zur Ausführung von eingeschleustem Code führt.

Die Lücke kann ausgenutzt werden, indem ein Angreifer einen Benutzer, in dessen Internet Explorer diese ActiveX-Komponente installiert ist, auf eine speziell präparierte Web-Seite lockt. Der Demo-Exploit öffnet den Windows Taschenrechner. Abhilfe schafft das Setzen des Kill-Bit für diese Komponente, deren CLSID "2745E5F5-D234-11D0-847A-00C04FD7BB08" lautet.

Eine Stellungnahme von Microsoft zur dieser zweiten Sicherheitslücke gibt es noch nicht. (PC-Welt/cvi)