Microsoft-Edge-Lücke über Code in Website aktivierbar

Microsoft-Edge-Lücke über Code in Website aktivierbar

(Quelle: Pixabay/geralt)
15. Oktober 2018 - Ein Sicherheitsforscher hat Proof of Concept (PoC) Code veröffentlicht, der, in einer Website versteckt, eine mittlerweile geschlossene Lücke im Edge Browser ausnutzen konnte, um Zugriff auf den betroffenen Rechner zu erlangen.
Der Sicherheitsforscher Abdulrahman Al-Qabandi hat in seinem Blog eine Lücke im Edge Browser beschrieben, die über Code aktiviert werden konnte, der in einer Website verborgen liegt. Wie "Zdnet" schreibt, hat Al-Qabandi Microsoft über die Zero-Day-Initiative von Trend Micro auf die Lücke aufmerksam gemacht, die mittlerweile im Windows Oktober-Update geschlossen wurde.

Erstaunlich ist, dass der Proof of Concept Code, den Al-Qabandi zur Verfügung gestellt hat, lediglich aus HTML und Javascript besteht. Ein Angreifer könnte diesen deshalb leicht in einer beliebigen Website verstecken und müsste das Opfer nur dazu bringen, diese Website mit dem Edge Browser zu besuchen. Es würde danach reichen, die Enter-Taste zu drücken, um ein Visual Basic Script über den Windows Script Host auszuführen, was es einem geübten Hacker ermöglichen würde, alle möglichen Aktionen auf dem Zielrechner auszuführen. Laut Microsoft seien keine Fälle bekannt, in denen die Lücke ausgenutzt wurde. (luc)

Neuen Kommentar erfassen

Anti-Spam-Frage Wie hiess im Märchen die Schwester von Hänsel?
Antwort
Name
E-Mail
SPONSOREN & PARTNER