Edge and Internet Explorer

Die Schwachstelle betrifft die Microsoft-Browser Edge und Internet Explorer und liegt in der Art, wie diese Objekte im Arbeitsspeicher verarbeiten. Durch fehlerhafte Speicherzugriffe lässt sich der Speicher gezielt beschädigen, sodass ein Angreifer eigenen Code im Kontext des aktuell angemeldeten Benutzers ausführen kann. Er erhält dabei genau die Rechte dieses Benutzers – ist der Anwender als Administrator angemeldet, kann der Angreifer das betroffene System vollständig übernehmen, also Programme installieren, Daten einsehen, ändern oder löschen sowie neue Benutzerkonten anlegen. Ausgenutzt wird die Lücke über manipulierte Webinhalte: Der Angreifer präparriert eine Website oder schleust speziell gestaltete Inhalte in kompromittierte Seiten beziehungsweise in Werbung oder nutzergenerierte Inhalte ein. Das Opfer muss die Seite jedoch selbst aufrufen, etwa nach einer Verlockung per E-Mail oder Sofortnachricht. Eine erzwungene Auslösung ohne Zutun des Nutzers ist nicht möglich.