2016-0063: Microsoft Internet Explorer: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit Benutzerrechten

Historie:

Version 1 (2016-01-13 14:59)

Neues Advisory

Version 2 (2016-02-22 12:05)

Microsoft aktualisiert das Microsoft Security Bulletin MS16-001, allerdings nur in der englischen Variante, um darüber zu informieren, dass der Internet Explorer in der Version 7 nicht von diesen Schwachstellen betroffen ist. Dennoch sollten Kunden das Update 3124275 auch auf Systemen mit Internet Explorer 7 installieren, um von den darin enthaltenen, nicht sicherheitsrelevanten Fehlerbehebungen zu profitieren. Über den referenzierten, korrespondierenden Microsoft Knowledge Base Article sind weitere Informationen verfügbar.

Betroffene Software

Entwicklung
Office

Betroffene Plattformen

Microsoft

Beschreibung:

Eine Schwachstelle im Microsoft Internet Explorer, bzw. dessen JScript und VBScript Modul, kann von einem entfernten, nicht authentifizierten Angreifer zur Ausführung beliebigen Programmcodes mit den Rechten des Benutzers ausgenutzt werden, d.h. unter Umständen mit Administratorrechten, falls der Benutzer als ein solcher angemeldet ist. Eine weitere Schwachstelle bei der Durchsetzung von Cross Domain Policies erlaubt dem Angreifer diesen Programmcode mit einer höheren Integritätsstufe (Medium statt Low) auszuführen. Die Schwachstellen betreffen jeweils verschiedene Versionen des Internet Explorers auf unterschiedlichen Varianten von Windows (siehe Microsoft Sicherheitshinweise MS16-001 - Internet Explorer).

Schwachstellen:

CVE-2016-0002

Schwachstelle in den VBScript und JScript Engines des Microsoft Internet Explorers

CVE-2016-0005

Schwachstelle im Internet Explorer erlaubt Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.