2018-0487: Microsoft Edge: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-03-14 13:26): Neues Advisory

Betroffene Software

Office

Betroffene Plattformen

Microsoft

Beschreibung:

Mehrere Schwachstellen in Microsoft Edge ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten des angemeldeten Benutzers. Falls der Benutzer mit Administratorrechten arbeitet, kann der Angreifer das System durch die Ausnutzung der Schwachstellen vollständig übernehmen. Mehrere weitere Schwachstellen ermöglichen dem Angreifer das Ausspähen von Informationen.

Von den Schwachstellen sind teilweise unterschiedliche Versionen des Betriebssystems Microsoft Windows 10 sowie das Server-Betriebssystem Microsoft Server 2016 betroffen. Die Schwachstellen werden mit den Microsoft März 2018 Sicherheitsupdates behoben und können im Microsoft Security Update Guide über die Kategorie 'Browser' und das Produkt 'Microsoft Edge' identifiziert werden. Viele der Schwachstellen betreffen die Scripting Engine ChakraCore, die auch im Internet Explorer eingesetzt wird.

Schwachstellen:

CVE-2018-0872 CVE-2018-0873 CVE-2018-0874 CVE-2018-0876 CVE-2018-0893

Schwachstellen in Microsoft Scripting Engine ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-0879

Schwachstelle in Microsoft Edge emöglicht Ausspähen von Informationen

CVE-2018-0891

Schwachstelle in Microsoft Scripting Engine ermöglicht Ausspähen von Informationen

CVE-2018-0927

Schwachstelle in Microsoft Edge und Internet Explorer emöglicht Ausspähen von Informationen

CVE-2018-0930 CVE-2018-0931 CVE-2018-0933 CVE-2018-0934 CVE-2018-0936 CVE-2018-0937