2017-1634: ChakraCore: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2017-09-18 13:47)
- Neues Advisory
Betroffene Software
Office
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen im Microsoft Skriptmodul, der Chakra JavaScript-Engine, ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes mit den Rechten des angemeldeten Benutzers. Falls der Anwender mit Administratorrechten ausgestattet ist, kann dies zu einer vollständigen Kontrolle des Systems durch den Angreifer führen. Eine Schwachstelle ermöglicht diesem Angreifer zudem das Ausspähen von Informationen.
Microsoft stellt die Version 1.7.2 von ChakraCore für Windows, Linux und Mac OS X zum Download auf GitHub bereit. Die meisten der Schwachstellen wurden auch bereits mit dem Sicherheitsupdate vom September 2017 für Microsoft Edge behoben. Die Schwachstelle CVE-2017-11767 wurde von Microsoft dagegen erst in Verbindung mit der Veröffentlichung des 17-09 ChakraCore Servicing Releases nachträglich dem September 2017 Security Release hinzugefügt.
Schwachstellen:
CVE-2017-11767
Schwachstelle in Chakra JavaScript-Engine ermöglicht Ausführen beliebigen ProgrammcodesCVE-2017-8649 CVE-2017-8660 CVE-2017-8729 CVE-2017-11764
Schwachstellen in Microsoft Skriptmodul ermöglichen Ausführen beliebigen ProgrammcodesCVE-2017-8739
Schwachstelle in Microsoft Skriptmodul ermöglicht Ausspähen von InformationenCVE-2017-8740 CVE-2017-8741 CVE-2017-8748 CVE-2017-8751 CVE-2017-8752 CVE-2017-8753 CVE-2017-8755 CVE-2017-8756 CVE-2017-8757
Schwachstellen in Microsoft Skriptmodul ermöglichen Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.