Forscher veröffentlicht Beispielcode für frisch gepatchte Sicherheitslücke in Edge
Sie erlaubt das Einschleusen von Schadcode aus der Ferne. Ein Opfer muss allerdings dazu verleitet werden, die Enter-Taste zu drücken. Der Sicherheitsforscher Abdulrahman Al-Qabandi hat die Lücke entdeckt und auch an Microsoft gemeldet.
Der Sicherheitsforscher Abdulrahman Al-Qabandi hat die Details einer von ihm entdeckten Sicherheitslücke im Microsoft-Browser Edge veröffentlicht. In seinem Blog beschreibt er die Anfälligkeit aber nicht nur, er stellt dort auch funktionierenden Beispielcode für einen Exploit zur Verfügung, damit andere Forscher seine Erkenntnisse nachvollziehen können. Allerdings könnte der Code nun auch von Cyberkriminellen für die Entwicklung von Malware benutzt werden.
Die Schwachstelle hatte Al-Qabandi über Trend Micros Zero Day Initiative an Microsoft gemeldet. Der Softwarekonzern wiederum patchte die Lücke mit der Kennung CVE-2018-8495 Anfang der Woche. „Ein Angreifer könnte eine speziell gestaltete Website hosten, um die Anfälligkeit über Microsoft Edge auszunutzen, und einen Nutzer zum Besuch der Website zu verleiten“, heißt es in Microsofts Sicherheitswarnung. Allerdings müsse der Angreifer den Nutzer zu einer bestimmten Aktion verleiten – laut Al-Qabandi muss die Eingabetaste betätigt werden.
Das Drücken der Enter-Taste führt demnach ein Visual-Basic-Skript über den Windows Script Host aus. Der Beispielcode des Forschers startet den Windows Taschenrechner. Es ist aber auch möglich, den Code so zu verändern, dass im Hintergrund Schadsoftware heruntergeladen und installiert wird. Einen möglichen Angriff zeigte der Forscher zudem in einem Video.
Ein Vorteil von Al-Qabandis Code ist, dass er nur aus HTML und JavaScript besteht und somit leicht in jede Website integriert werden. Da sein Exploit jedoch nicht automatisiert ausgeführt werden kann, ist er nicht für Exploit-Kits oder Malvertising-Kampagnen geeignet. Er ließe sich jedoch bei zielgerichteten Angriffen einsetzen.
Ein Fix ist in den am Dienstag im Rahmen des Oktober-Patchdays veröffentlichten Updates enthalten. Nutzer sollten die Updates unabhängig von der von ihnen verwendeten Windows-Version nun so schnell wie möglich installieren. Besitzer von HP-Systemen sollten indes beachten, dass die kumulativen Updates für Windows 10 Version 1803 und 1809 bei einigen Anwendern zu Problemen geführt haben.
M821J 6W6M1 U597G D525AF-00 525w PSU w/ 24-Pin Wire Harness Netzteile/Adapters
C21N1414 akkus für ASUS EeeBook X205T X205TA X205TA-BING-FD015B 11.6″
88796 akkus für Bose Soundlink Mini 2 Pack
45N1741 akkus für Lenovo ThinkPad T550 T550s W550 W550s
45N1741 45N1742 45N1743 akkus für ThinkPad T550 T550s W550 W550s
404600 akkus für Bose SOUNDLINK I II III
GNS-I60 akkus für Gigabyte P35N P35W P35X P37K P37X P57X P35G P57W
Der Sicherheitsforscher Abdulrahman Al-Qabandi hat die Details einer von ihm entdeckten Sicherheitslücke im Microsoft-Browser Edge veröffentlicht. In seinem Blog beschreibt er die Anfälligkeit aber nicht nur, er stellt dort auch funktionierenden Beispielcode für einen Exploit zur Verfügung, damit andere Forscher seine Erkenntnisse nachvollziehen können. Allerdings könnte der Code nun auch von Cyberkriminellen für die Entwicklung von Malware benutzt werden.
Die Schwachstelle hatte Al-Qabandi über Trend Micros Zero Day Initiative an Microsoft gemeldet. Der Softwarekonzern wiederum patchte die Lücke mit der Kennung CVE-2018-8495 Anfang der Woche. „Ein Angreifer könnte eine speziell gestaltete Website hosten, um die Anfälligkeit über Microsoft Edge auszunutzen, und einen Nutzer zum Besuch der Website zu verleiten“, heißt es in Microsofts Sicherheitswarnung. Allerdings müsse der Angreifer den Nutzer zu einer bestimmten Aktion verleiten – laut Al-Qabandi muss die Eingabetaste betätigt werden.
Das Drücken der Enter-Taste führt demnach ein Visual-Basic-Skript über den Windows Script Host aus. Der Beispielcode des Forschers startet den Windows Taschenrechner. Es ist aber auch möglich, den Code so zu verändern, dass im Hintergrund Schadsoftware heruntergeladen und installiert wird. Einen möglichen Angriff zeigte der Forscher zudem in einem Video.
Ein Vorteil von Al-Qabandis Code ist, dass er nur aus HTML und JavaScript besteht und somit leicht in jede Website integriert werden. Da sein Exploit jedoch nicht automatisiert ausgeführt werden kann, ist er nicht für Exploit-Kits oder Malvertising-Kampagnen geeignet. Er ließe sich jedoch bei zielgerichteten Angriffen einsetzen.
Ein Fix ist in den am Dienstag im Rahmen des Oktober-Patchdays veröffentlichten Updates enthalten. Nutzer sollten die Updates unabhängig von der von ihnen verwendeten Windows-Version nun so schnell wie möglich installieren. Besitzer von HP-Systemen sollten indes beachten, dass die kumulativen Updates für Windows 10 Version 1803 und 1809 bei einigen Anwendern zu Problemen geführt haben.
M821J 6W6M1 U597G D525AF-00 525w PSU w/ 24-Pin Wire Harness Netzteile/Adapters
C21N1414 akkus für ASUS EeeBook X205T X205TA X205TA-BING-FD015B 11.6″
88796 akkus für Bose Soundlink Mini 2 Pack
45N1741 akkus für Lenovo ThinkPad T550 T550s W550 W550s
45N1741 45N1742 45N1743 akkus für ThinkPad T550 T550s W550 W550s
404600 akkus für Bose SOUNDLINK I II III
GNS-I60 akkus für Gigabyte P35N P35W P35X P37K P37X P57X P35G P57W
0 Response to "Forscher veröffentlicht Beispielcode für frisch gepatchte Sicherheitslücke in Edge"
Kommentar veröffentlichen