Das französische Security-Unternehmen VUPEN hat nach eigenen Angaben eine Schwachstelle im Internet Explorer entdeckt, die von Version 6 bis hin zur aktuellen Version 9 ausgenutzt werden kann.Mit einem selbst geschriebenen Exploit gelang es, eigenen Code in den Internet Explorer einzuschleusen und auszuführen.
Über eine zweite Lücke gelang es den Experten anschließend, aus der Sandbox, in welcher der Internet Explorer 9 läuft, auszubrechen und den eingeschleusten Code unter Windows 7 auszuführen. Selbst ein aktuelles Windows 7 mit installiertem Service Pack 1 war diesem Angriff nicht gewachsen.
Die Sicherheitsfunktionen DEP (Data Execution Prevention) und ASLR (Address Space Layout Randomization) werden erfolgreich umgangen.
Die Lücke steckt offenbar in der Datei mshtml.dll, einer Kernkomponente, die in allen IE-Versionen enthalten ist.
Zur Ausnutzung der Sicherheitslücke genügt es, eine Webseite aufzurufen, welche den entsprechenden Exploit-Code enthält.
Nähere Informationen dazu hat VUPEN nicht veröffentlicht, eine diesbezügliche Reaktion von Microsoft steht noch aus.
