Die Sicherheitsexperten von FireEye haben bei Analyse einer kompromittierten Webseite einen Exploit entdeckt, der eine bislang unbekannte Sicherheitslücke im Internet Explorer ausnutzt.

Durch die Lücke kann ein Angreifer Schadcode ins System des IE-Nutzers einschleusen, wenn dieser eine speziell präparierte Webseite besucht. Anfällig sind alle IE-Versionen bis einschließlich Version 8. Höhere Versionen sind nach derzeitigem Kenntnisstand nicht betroffen.

Laut FireEye haben die Angreifer zunächsts mit Hilfe eines Flash-Applets Shellcode im Arbeitsspeicher verteilt (Heap Spraying). Über die Zero-Day-Lücke im IE gelang es schließlich, den Code auszuführen. Durch die Sicherheitslücke wurde eine DLL ins System eingeschleust, zu dessen Funktionen die Sicherheitsexperten bislang keine Angaben machten.

Quelle: http://www.heise.de/newsticker/meldung/Kritische-Zero-Day-Luecke-im-Internet-Explorer-1775002.html