Schwachstelle: Internet Explorer 9 gefunden

Sicherheitsexperten der VUPEN ist es gelungen den Internet Explorer 9 zu knacken. Dies geschah bei dem Pwn2Own-Hackerwettbewerb auf der CanSecWest-Security-Konferenz. Windows 7 in Kombination mit dem Internet Explorer 9 offenbarten die zwei Zero-Day-Schwachstellen, die VUPEN nutzte um einen Puffer-Überlauf auf dem Heap bewirken. Zudem konnten sie, die in das Microsoft-Betriebssystem integrierten Schutzmaßnahmen, DEP und ASLR austricksen.

Von der Schwachstelle ist nicht nur der Internet Explorer 9 betroffen, sondern alle Internet Explorer ab der Version 6. Auch die aktuelle Beta-Version des Internet Explorer 10 scheint davon betroffen zu sein, berichtet Ryan Naraine vom amerikanischen ZDNet.

Diese Sicherheitslücken sind ohne jeden Zweifel als sehr bedenklich einzustufen. Dem französischen Unternehmen VUPEN war es außerdem möglich, aus dem Protected-Mode des Internet Explorers auszubrechen. Alleine der Besuch einer manipulierten Webseite reicht aus, damit einen potentieller Angreifer diese Schwachstelle ausnutzt.

Zwei Mitarbeiter des Unternehmens beschäftigten sich über sechs Wochen damit eine solche Schwachstelle im Browser ausfindig zu machen. Auf der gleichen Veranstaltung konnte VUPEN den Chrome-Browser von Google innerhalb von fünf Minuten, durch Ausnutzung von zwei Schwachstellen, knacken.