Internet Explorer Scripting Engine

Die Schwachstelle steckt in der Skript-Engine des Internet Explorer, also der Komponente, die JavaScript- und vergleichbaren Code auf Webseiten ausführt. Der Fehler liegt darin, wie die Engine Objekte im Arbeitsspeicher verwaltet; dabei kommt es zu einer Speicherbeschädigung, die ein Angreifer gezielt ausnutzen kann, um eigenen Code auf dem System auszuführen. Typischer Angriffsweg ist eine präparierte Webseite: Ruft das Opfer mit dem Internet Explorer eine solche Seite auf, läuft der eingeschleuste Code im Kontext des angemeldeten Benutzers. Verfügt dieser über weitreichende Rechte, kann der Angreifer das System entsprechend umfassend kontrollieren – etwa Programme installieren, Daten lesen oder verändern und neue Konten anlegen. Betroffen ist der Internet-Explorer-Browser von Microsoft in mehreren Programmgenerationen. Da der Angriff allein das Öffnen einer manipulierten Seite erfordert, eignet er sich gut für breit gestreute Drive-by-Angriffe.