2018-0043: ChakraCore: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-01-08 17:45): Neues Advisory

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in ChakraCore ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten des Benutzers. Falls der Nutzer über Administratorrechte verfügt, kann der Angreifer die volle Kontrolle über das System erlangen. Weitere Schwachstellen ermöglichen dem Angreifer das Ausspähen von Informationen. Eine Schwachstelle ermöglicht dem Angreifer das Umgehen von Sicherheitsvorkehrungen. Die Schwachstelle CVE-2018-0818 wird ausschließlich für die Microsoft Scripting Engine ChakraCore aufgeführt, alle übrigen Schwachstellen betreffen auch die Microsoft Browser Edge und / oder Internet Explorer.

Microsoft aktualisiert seinen Sicherheitshinweis für Januar 2018 dahingehend, dass einige der dort referenzierten Schwachstellen die Scripting Engine ChakraCore betreffen. Der Hersteller kündigt die Version 1.7.6 von ChakraCore für Windows, Linux und macOS auf GitHub an (siehe Referenz). Die Sicherheitsupdates können auch im Microsoft Security Update Guide über die Kategorie 'Development Tools' und das Produkt 'ChakraCore' identifiziert werden.

Schwachstellen:

CVE-2018-0758 CVE-2018-0768 CVE-2018-0769 CVE-2018-0770

Schwachstellen in Microsoft Scripting Engine ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-0762 CVE-2018-0772

Schwachstellen in Scripting Engine ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-0767 CVE-2018-0780 CVE-2018-0800

Schwachstellen in Microsoft Scripting Engine ermöglichen Ausspähen von Informationen

CVE-2018-0773 CVE-2018-0774 CVE-2018-0775 CVE-2018-0776 CVE-2018-0777 CVE-2018-0778 CVE-2018-0781