Print

[ama]

Der Verkauf von Word ist Microsoft bereits verboten worden (wegen Verstoß gegen das Urheberrecht). Nun ist die Sicherheitslücke im Internet-Explorer so groß, daß man diese Fehlkonstruktion ebenfalls völlig verbieten sollte.


[*QUOTE*]
-----------------------------------------------------------------
Kritische Sicherheitslücke im Internet Explorer

BSI empfiehlt die vorübergehende Nutzung alternativer Browser
Bonn, 15.01.2010.

Im Internet Explorer existiert eine bisher unbekannte kritische Sicherheitslücke. Die Schwachstelle ermöglicht Angreifern, über eine manipulierte Webseite Schadcode in einen Windows-Rechner zu schleusen und zu starten. Der in der vergangenen Woche bekannt gewordene Hacker-Angriff auf Google und weitere US-Unternehmen hat vermutlich diese Sicherheitslücke ausgenutzt.

Betroffen sind die Versionen 6, 7 und 8 des Internet Explorer auf den Windows-Systemen XP, Vista und Windows 7. Microsoft hat ein Security Advisory herausgegeben, in dem es Möglichkeiten der Risikominimierung beschreibt und arbeitet bereits an einem Patch, um die Sicherheitslücke zu schließen. Das BSI erwartet, dass diese Schwachstelle in kurzer Zeit für Angriffe im Internet eingesetzt wird.

Das Ausführen des Internet Explorer im „geschützen Modus“ sowie das Abschalten von Acitve Scripting erschwert zwar die Angriffe, kann sie jedoch nicht vollständig verhindern. Deshalb empfiehlt das BSI, bis zum Vorliegen eine Patches von Microsoft auf einen alternativen Browser umzusteigen.

Sobald die Sicherheitslücke geschlossen ist, wird das BSI über seinen Warn- und Informationsdienst Bürger-CERT

   http://www.buerger-cert.de/

darüber informieren. Über das Bürger-CERT informiert und warnt das BSI Bürger sowie kleine und mittelständische Unternehmen vor Viren, Würmern und Sicherheitslücken in Computeranwendungen. Die Experten des BSI analysieren rund um die Uhr die Sicherheitslage im Internet und verschicken bei Handlungsbedarf Warnmeldungen und Sicherheitshinweise per E-Mail.

Pressekontakt:
Bundesamt für Sicherheit in der Informationstechnik
Postfach 200363,
53133 Bonn
Telefon: 0228 99 9582-5777
+49 228 99 9582-5777
Telefax: 0228 99 9582-5455
+49 228 99 9582-5455
E-Mail an die Pressestelle: presse[bat]bsi.bund.de

© Bundesamt für Sicherheit in der Informationstechnik. All rights reserved
-----------------------------------------------------------------
[*/QUOTE*]

Quelle:
https://www.bsi.bund.de/cln_172/sid_8E632587AD5B6F7159B2D2C1E706E34D/ContentBSI/presse/Pressemitteilungen/Sicherheitsluecke_IE_150110.html

.

[ama]

Auch die Schnarchzapfen im französischen CERTA sind aufgeweckt worden und warnen vor dem Microsoft Internet Explorer:

[*QUOTE*]
-----------------------------------------------------------------
CERTA
Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques

S . G . D . N
Agence nationale de la sécurité des systèmes d'information

Paris, le 15 janvier 2010

No CERTA-2010-ALE-001

Affaire suivie par : CERTA
BULLETIN D'ALERTE DU CERTA

Objet : Vulnérabilité dans Microsoft Internet Explorer
Conditions d'utilisation de ce document :
http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-001

Gestion du document

Tableau 1: Gestion du document Référence    CERTA-2010-ALE-001
Titre    Vulnérabilité dans Microsoft Internet Explorer
Date de la première version    15 janvier 2010
Date de la dernière version    -
Source(s)    Bulletin de sécurité Microsoft #979352 du 14 janvier 2010
Pièce(s) jointe(s)    Aucune

Une gestion de version détaillée se trouve à la fin de ce document.
1 Risque

Exécution de code arbitraire à distance.
2 Systèmes affectés
Microsoft Internet Explorer 6 ;
Microsoft Internet Explorer 7 ;
Microsoft Internet Explorer 8.
3 Résumé

Une vulnérabilité dans Microsoft Internet Explorer permet à une personne malintentionnée d'exécuter du code arbitraire à distance.

4 Description

Une vulnérabilité due à une référence à un pointeur non valide permet à une personne malintentionnée d'exécuter du code arbitraire à distance. Des exploitations limitées de cette vulnérabilité ont déjà été constatées.

5 Contournement provisoire

Dans l'attente d'un correctif de l'éditeur, Le CERTA recommande l'utilisation d'un navigateur alternatif. Le CERTA rappelle également qu'il est fortement conseillé de naviguer sur l'Internet avec un compte utilisateur aux droits limités et la désactivation de l'interprétation de code dynamique (JavaScript, ActiveX, ...). De plus, l'activation du DEP (Data Execution Prevention) peut limiter l'impact de cette vulnérabilité.

6 Documentation
Bulletin de sécurité Microsoft #979352 du 14 janvier 2010 :
http://www.microsoft.com/technet/security/advisory/979352.mspx
Référence CVE CVE-2010-0249 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0249
Gestion détaillée du document
15 janvier 2010
version initiale.


CERTA
2010-01-15
   
Premier Ministre / Secrétariat Général de la Défense Nationale / Agence nationale de la sécurité des systèmes d'information     webmestre    Dernière mise à jour : le 15/01/2010
-----------------------------------------------------------------
[*/QUOTE*]

Quelle:
http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-001/index.html

.

[ama]

nicht vergessen!