2018-0494: ChakraCore: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-03-14 13:54)

Neues Advisory

Betroffene Software

Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen im Microsoft Skriptmodul, der Chakra JavaScript-Engine, ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes mit den Rechten des angemeldeten Benutzers. Falls der Anwender mit Administratorrechten ausgestattet ist, kann dies zu einer vollständigen Kontrolle des Systems durch den Angreifer führen. Zwei weitere Schwachstellen ermöglichen dem Angreifer das Ausspähen von Informationen. Die Schwachstelle CVE-2018-0925 wird ausschließlich für die Microsoft Scripting Engine ChakraCore aufgeführt. Alle übrigen Schwachstellen treten auch in Kombination mit den Microsoft Browsern Edge und Internet Explorer auf.

Microsoft stellt die Version 1.8.2 von ChakraCore für Windows, Linux und Mac OS X zum Download auf GitHub bereit. Die Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Development Tools' und das Produkt 'ChakraCore' identifiziert werden.

Schwachstellen:

CVE-2018-0872 CVE-2018-0873 CVE-2018-0874 CVE-2018-0925

Schwachstellen in Microsoft Scripting Engine ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-0891

Schwachstelle in Microsoft Scripting Engine ermöglicht Ausspähen von Informationen

CVE-2018-0930 CVE-2018-0931 CVE-2018-0933 CVE-2018-0934 CVE-2018-0936 CVE-2018-0937

Schwachstellen in Microsoft Scripting Engine ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-0939

Schwachstelle in Microsoft Scripting Engine ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.