Internet Explorer

Die Schwachstelle steckt im Webbrowser Internet Explorer von Microsoft und gehört zur Klasse der Use-after-free-Fehler. Dabei greift das Programm auf einen Zeiger zu, der auf ein bereits gelöschtes Objekt verweist – der zugehörige Speicher wurde freigegeben, wird aber weiterhin verwendet. Ursache sind ein nicht korrekt initialisierter Speicherbereich und ein fehlerhafter Umgang mit Objekten im Arbeitsspeicher. Ein Angreifer kann diesen Zustand gezielt missbrauchen, indem er ein Opfer auf eine präparierte Webseite lockt; beim Verarbeiten der manipulierten Inhalte wird der freigegebene Speicher unter seiner Kontrolle gebracht. So lässt sich aus der Ferne beliebiger Code mit den Rechten des angemeldeten Benutzers ausführen. Die Lücke wurde im Rahmen der gezielten Angriffskampagne „Operation Aurora“ aktiv ausgenutzt. Das betroffene Produkt hat das Ende seines Lebenszyklus erreicht und wird nicht mehr gepflegt, weshalb Anwendern empfohlen wird, die Nutzung einzustellen.