2017-0809: Microsoft Internet Explorer: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2017-05-10 13:14)
- Neues Advisory
- Version 2 (2017-06-14 11:35)
- Microsoft veröffentlicht das Microsoft Security Advisory 4025685 und informiert darin unter anderem darüber, dass die Schwachstelle CVE-2017-0222 ebenfalls den Internet Explorer 9 auf den Betriebssystemen Windows Server 2008 SP2 für 32-Bit und 64-Bit Systeme betrifft.
- Version 3 (2017-08-09 15:00)
- Microsoft informiert darüber, dass die Schwachstelle CVE-2017-0228, die im Mai 2017 veröffentlicht und adressiert wurde, mit den Sicherheitsupdates für August 2017 umfassend und abschließend behoben wurde. Benutzer, die automatische Sicherheitsupdates verwenden, sind dadurch bereits geschützt. Anderen Benutzern wird das Einspielen beider Sicherheitsupdates nahegelegt.
Betroffene Software
Office
Betroffene Plattformen
Microsoft
Beschreibung:
Mehrere Schwachstellen im Microsoft Internet Explorer ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten des Benutzers. Falls der Benutzer mit Administratorrechten angemeldet ist, kann der Angreifer das System vollständig übernehmen. Zwei weitere Schwachstellen ermöglichen einem Angreifer zudem die Darstellung falscher Informationen sowie das Umgehen von Sicherheitsvorkehrungen.
Von den Schwachstellen sind verschiedene Versionen des Internet Explorers auf unterschiedlichen Versionen von Microsoft Windows betroffen.
Mittels der Microsoft Sicherheitsempfehlung 4010323 informiert Microsoft außerdem darüber, dass die veröffentlichten Updates für den Internet Explorer 11 verhindern, dass Webseiten, die mit einem SHA-1-Zertifikat geschützt sind, geladen werden. Statt dessen wird eine Warnung angezeigt, dass ein ungültiges Zertifikat verwendet wird. Dieses geänderte Verhalten tritt nur bei SHA-1-Zertifikaten, die innerhalb des Microsoft Trusted Root Programms (Microsoft Programm für vertrauenswürdige Stammzertifikate) erstellt wurden, auf. Weitere Informationen zu diesem Thema finden sich in der referenzierten Sicherheitsempfehlung 4010323.
Schwachstellen:
CVE-2017-0064
Schwachstelle in Internet Explorer ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-0222
Schwachstelle in Internet Explorer ermöglicht Ausführen beliebigen ProgrammcodesCVE-2017-0226
Schwachstelle in Internet Explorer ermöglicht Ausführen beliebigen ProgrammcodesCVE-2017-0228
Schwachstelle in Microsoft Skriptmodul ermöglicht Ausführen beliebigen ProgrammcodesCVE-2017-0231
Schwachstelle in Microsoft Internet Explorer und Edge ermöglicht Darstellen falscher InformationenCVE-2017-0238
Schwachstelle in Microsoft Skriptmodul ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.