2019-0961: ChakraCore: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes mit Benutzerrechten
Historie:
- Version 1 (2019-05-15 13:37)
- Neues Advisory
Betroffene Software
Office
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere als kritisch bewertete Schwachstellen in der Microsoft Scripting Engine ChakraCore ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten des angemeldeten Benutzers. In einem Web-basierten Szenario muss der Angreifer einen Benutzer dafür auf eine von ihm manipulierte Webseite leiten. Falls der Benutzer über Administratorrechte verfügt, kann die erfolgreiche Ausnutzung der Schwachstellen zu einer vollständigen Kontrolle des Systems durch den Angreifer führen.
Microsoft stellt das offizielle Release ChakraCore 1.11.9 bereit, um die referenzierten Schwachstellen mit Ausnahme von CVE-2019-0884 und CVE-2019-0918 zu beheben.
Die Schwachstellen CVE-2019-0884 und CVE-2019-0918 befinden sich in der Scripting Engine und werden im Browser-Kontext mit dem heutigen Microsoft Patchtag behoben. Es ist möglich, dass die Schwachstellen auch im ChakraCore Release 1.11.9 adressiert werden, aber nicht in den Release Notes aufgeführt wurden.
Die Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Development Tools' identifiziert werden. Weitere dort aufgeführte Schwachstellen in anderen Produkten (.NET, Microsoft Visual Studio, Team Foundation Server (Azure DevOps Server)) werden in eigenen Sicherheitshinweisen behandelt.
Schwachstellen:
CVE-2019-0884
Schwachstelle in Microsoft Scripting Engine ermöglicht Ausführung beliebigen Programmcodes mit BenutzerrechtenCVE-2019-0911
Schwachstelle in Microsoft Scripting Engine ermöglicht Ausführung beliebigen Programmcodes mit BenutzerrechtenCVE-2019-0912 CVE-2019-0913 CVE-2019-0914 CVE-2019-0915 CVE-2019-0916 CVE-2019-0917 CVE-2019-0922
Schwachstellen in ChakraCore ermöglichen Ausführung beliebigen Programmcodes mit BenutzerrechtenCVE-2019-0918
Schwachstelle in Microsoft Scripting Engine ermöglicht Ausführung beliebigen Programmcodes mit BenutzerrechtenCVE-2019-0923 CVE-2019-0924 CVE-2019-0925 CVE-2019-0927 CVE-2019-0933 CVE-2019-0937
Schwachstellen in ChakraCore ermöglichen Ausführung beliebigen Programmcodes mit Benutzerrechten
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.