Microsoft hat es abgelehnt, eine Zero-Day-Lücke im Internet Explorer zu flicken, für die ein Sicherheitsforscher veröffentlichten Angaben und Proof-of-concept. Der Fehler kann Angreifer Dateien von Computer zu stehlen Windows ausgeführt wird.
Genauer, Der Forscher erfolgreich getestet die Zero-Day-Exploit in der neuesten Version von Internet Explorer Browser, v11, wo die letzten Sicherheits-Patches wurden angewendet. Die Systeme, bei denen die getestet ausbeuten sind Windows 7, Fenster 10, und Windows Server 2012 R2-Systeme.
Zero-Day-Exploit im Internet Explorer
Der Sicherheitsforscher John Seite nur veröffentlicht Details zu einem XEE (XML External Entity) Fehler im Internet Explorer. Der Fehler kann ausgelöst werden, wenn ein Benutzer eine MHT-Datei öffnet.
Was ist eine MHT-Datei? MHT ist ein Web-Seite Archiv-Dateiformat. Die archivierten Webseite ist ein MHTML (Abkürzung für MIME-HTML) Dokument. MHTML speichert den Inhalt der Webseite und enthält externe Ressourcen, wie Bilder, Applets, Flash-Animationen und so weiter, in HTML-Dokumente, TechTarget erklärt.
Beachten Sie, wenn Sie eine Webseite in Internet Explorer als Web-Archiv speichern, wird die Seite als MHT-Datei gespeichert. Jegliche relative Links in HTML (die enthält nicht alle Informationen über die Position des Inhalts, sondern übernimmt alle Inhalte in einem Verzeichnis auf dem Host-Server sind) wird neu zugeordnet werden, so kann der Inhalt befinden.
Der kürzlich entdeckte Zero-Day in IE kann es Angreifer ermöglichen, auf lokale Dateien exfiltrate und installierte Programmversion Informationen über lokal Fernerkundung führen, Der Forscher erklärt. Ein Beispiel ist, wenn eine Anforderung für ‘c:\Python27 NEWS.TXT‘ kann für dieses Programm Versionsinformationen zurückgeben, er fügte hinzu. In einer Nussschale, “Internet Explorer ist anfällig für XML External Entity Angriff, wenn ein Benutzer eine speziell gestaltete .MHT öffnet Datei lokal.”
Die Tatsache, dass alle MHT-Dateien automatisch in IE standardmäßig öffnen gesetzt macht den Exploit eher trivial. Potenzielle Opfer müssen nur Doppelklick auf eine Datei, die sie zuvor per E-Mail oder Instant Messaging erhalten.
Nach Seite, die Anfälligkeit beruht auf, wie Internet Explorer behandelt STRG + K (Duplikat Tab), “Druckvorschau,” oder “Drucken” Benutzerbefehle.
Die Sicherheitslücke stellt ein Risiko für über 7.34 Prozent der Nutzer, nach NetMarketShare Statistiken, als immer weniger Benutzer Internet Explorer ausgeführt werden, wie sie auf modernere Browser setzen.
Dennoch, der Null-Tag soll nicht vernachlässigt werden, da Windows-noch IE als Standard-App verwendet MHT-Dateien zu öffnen. Tatsächlich, für die Nutzer in Gefahr sein, sie müssen nicht IE-Set als Standard-Browser haben. Die Tatsache, dass der IE in ihrer Windows-vorhanden ist, ist genug, um sie anfällig, als Angreifer kann immer noch einen Weg zu betrügen Benutzer in Öffnen einer MHT-Datei.
Was hat Microsoft Say?
Der Forscher benachrichtigt Microsoft über die Zero-Day ein paar Wochen, Im März 27. Die schlechte Nachricht ist, dass Unternehmen planen nicht, den Fehler in einer dringenden Sicherheitsupdate zu beheben. Hier ist die Antwort Seite bekam von Microsoft am April 10:
Wir stellten fest, dass ein Update für dieses Problem wird in einer zukünftigen Version dieses Produkts oder einer Dienstleistung in Betracht gezogen werden. Zu diesem Zeitpunkt, wir werden die Bereitstellung nicht laufende Aktualisierungen des Status der Fehlerbehebung für dieses Problem, und wir haben diesen Fall geschlossen.
Nachdem diese negative Antwort zu erhalten, die Forscher beschlossen, den Zero-Day öffentlich zu machen und veröffentlichte sogar einen Proof-of-Concept-Code und eine Demo.