2017-0810: Microsoft Edge: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2017-05-10 15:19)
- Neues Advisory
- Version 2 (2017-08-09 15:01)
- Microsoft informiert darüber, dass die Schwachstelle CVE-2017-0228, die im Mai 2017 veröffentlicht und adressiert wurde, mit den Sicherheitsupdates für August 2017 umfassend und abschließend behoben wurde. Benutzer, die automatische Sicherheitsupdates verwenden, sind dadurch bereits geschützt. Anderen Benutzern wird das Einspielen beider Sicherheitsupdates nahegelegt.
Betroffene Software
Office
Betroffene Plattformen
Microsoft
Beschreibung:
Mehrere Schwachstellen in Microsoft Edge ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten des Benutzers. Falls der Benutzer Administratorrechte besitzt, kann der Angreifer das System vollständig übernehmen. Weitere Schwachstellen ermöglichen einem Angreifer zudem das Eskalieren von Privilegien sowie das Darstellen falscher Informationen.
Von den Schwachstellen sind teilweise unterschiedliche Versionen des Betriebssystems Microsoft Windows 10 betroffen.
Mittels der Microsoft Sicherheitsempfehlung 4010323 informiert Microsoft außerdem darüber, dass die veröffentlichten Updates für den Browser Edge verhindern, dass Webseiten, die mit einem SHA-1-Zertifikat geschützt sind, geladen werden. Statt dessen wird eine Warnung angezeigt, dass ein ungültiges Zertifikat verwendet wird. Dieses geänderte Verhalten tritt nur bei SHA-1-Zertifikaten, die innerhalb des Microsoft Trusted Root Programms (Microsoft Programm für vertrauenswürdige Stammzertifikate) erstellt wurden, auf. Weitere Informationen zu diesem Thema finden sich in der referenzierten Sicherheitsempfehlung 4010323.
Schwachstellen:
CVE-2017-0221
Schwachstelle in Microsoft Edge ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-0224
Schwachstelle in Microsoft Skriptmodul ermöglicht Ausführen beliebigen ProgrammcodesCVE-2017-0227
Schwachstelle in Microsoft Skriptmodul ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-0228
Schwachstelle in Microsoft Skriptmodul ermöglicht Ausführen beliebigen ProgrammcodesCVE-2017-0229 CVE-2017-0230
Schwachstellen in Microsoft Skriptmodul ermöglichen Ausführen beliebigen ProgrammcodesCVE-2017-0231
Schwachstelle in Microsoft Internet Explorer und Edge ermöglicht Darstellen falscher InformationenCVE-2017-0233
Schwachstelle in Microsoft Edge ermöglicht PrivilegieneskalationCVE-2017-0234 CVE-2017-0235 CVE-2017-0236
Schwachstellen in Microsoft Edge ermöglichen Ausführung beliebigen ProgrammcodesCVE-2017-0238
Schwachstelle in Microsoft Skriptmodul ermöglicht Ausführen beliebigen ProgrammcodesCVE-2017-0240 CVE-2017-0266
Schwachstellen in Microsoft Skriptmodul ermöglichen Ausführen beliebigen ProgrammcodesCVE-2017-0241
Schwachstelle in Microsoft Edge ermöglicht Privilegieneskalation
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.