DFN-CERT

Advisory-Archiv

2017-2252: Microsoft Edge: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-12-13 14:41)
Neues Advisory

Betroffene Software

Office

Betroffene Plattformen

Microsoft

Beschreibung:

Mehrere Schwachstellen in Microsoft Edge ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten des angemeldeten Benutzers. Falls der Benutzer mit Administratorrechten arbeitet, kann der Angreifer das System durch die Ausnutzung der Schwachstellen vollständig übernehmen. Ein Großteil dieser Schwachstellen wird von Microsoft als kritisch eingestuft. Eine weitere Schwachstelle ermöglicht einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen und das Umgehen von Sicherheitsvorkehrungen.

Von den Schwachstellen sind teilweise unterschiedliche Versionen des Betriebssystems Microsoft Windows 10 sowie das Server-Betriebssystem Microsoft Server 2016 betroffen. Die Schwachstellen werden mit den Microsoft Dezember 2017 Sicherheitsupdates behoben und können im Microsoft Security Update Guide über die Kategorie 'Browser' und das Produkt 'Microsoft Edge' identifiziert werden. Viele der Schwachstellen betreffen die Scripting Engine ChakraCore, die auch im Internet Explorer eingesetzt wird.

Schwachstellen:

CVE-2017-11888

Schwachstelle in Microsoft Edge ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-11889 CVE-2017-11893 CVE-2017-11905 CVE-2017-11909 CVE-2017-11910 CVE-2017-11911 CVE-2017-11914 CVE-2017-11918

Schwachstellen in Microsoft ChakraCore und Edge emöglichen Ausführung beliebigen Programmcodes

CVE-2017-11894 CVE-2017-11912

Schwachstellen in Microsoft ChakraCore, Edge und Internet Explorer emöglichen Ausführung beliebigen Programmcodes

CVE-2017-11895

Schwachstelle in Microsoft ChakraCore, Edge und Internet Explorer emöglicht Ausführung beliebigen Programmcodes

CVE-2017-11908

Schwachstelle in Microsoft ChakraCore und Edge emöglicht Ausführung beliebigen Programmcodes

CVE-2017-11919

Schwachstelle in Microsoft ChakraCore, Edge und Internet Explorer emöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.