2017-1437: ChakraCore: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes mit Benutzerrechten
Historie:
- Version 1 (2017-08-15 12:21)
- Neues Advisory
Betroffene Software
Office
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen im Microsoft Skriptmodul, der Chakra JavaScript-Engine, ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes mit den Rechten des angemeldeten Benutzers. Falls der Anwender mit Administratorrechten ausgestattet ist, kann dies zu einer vollständigen Kontrolle des Systems durch den Angreifer führen. Eine Schwachstelle ermöglicht diesem Angreifer zudem das Ausspähen von Informationen und eine weitere Schwachstelle ermöglicht einem entfernten, einfach authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen.
Microsoft stellt die Version 1.7.1 von ChakraCore für Windows, Linux und Mac OS X zum Download auf GitHub bereit. Die meisten der Schwachstellen wurden auch bereits mit dem Sicherheitsupdate vom August 2017 für Microsoft Edge behoben, die Schwachstelle CVE-2017-0228 wurde bereits mit den Sicherheitsupdates vom Mai 2017 für Microsoft Edge und Internet Explorer erstmalig adressiert. Die Schwachstelle CVE-2017-8658 wurde von Microsoft dagegen erst in Verbindung mit der Veröffentlichung des 17-08 ChakraCore Servicing Releases nachträglich dem August 2017 Security Release hinzugefügt.
Schwachstellen:
CVE-2017-0228
Schwachstelle in Microsoft Skriptmodul ermöglicht Ausführen beliebigen ProgrammcodesCVE-2017-8634 CVE-2017-8635 CVE-2017-8636 CVE-2017-8638 CVE-2017-8640 CVE-2017-8641 CVE-2017-8645
Schwachstellen in Microsoft Skriptmodul ermöglichen Ausführung beliebigen ProgrammcodesCVE-2017-8637
Schwachstelle in Microsoft Skriptmodul ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-8646 CVE-2017-8647 CVE-2017-8655 CVE-2017-8656 CVE-2017-8657 CVE-2017-8670 CVE-2017-8671 CVE-2017-8672 CVE-2017-8674
Schwachstellen in Microsoft Skriptmodul ermöglichen Ausführung beliebigen ProgrammcodesCVE-2017-8658
Schwachstelle in Chakra JavaScript-Engine ermöglicht Ausführen beliebigen ProgrammcodesCVE-2017-8659
Schwachstelle in Microsoft Skriptmodul ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.