2023-1680: Microsoft Edge: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-07-24 12:24)

Neues Advisory

Betroffene Software

Office

Betroffene Plattformen

Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen, falsche Informationen darzustellen und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Microsoft stellt die Microsoft Edge Stable Channel Version 115.0.1901.183 sowie die Extended Stable Channel Version 114.0.1823.90 auf Basis von Chromium 115.0.5790.98/99 bzw. 114.0.5735.243 Behebung der Schwachstellen bereit. Mit dem verfügbaren Sicherheitsupdate werden auch die für Microsoft Edge spezifischen Schwachstellen CVE-2023-35392, CVE-2023-38173, CVE-2023-38187 behoben. Die Schwachstelle CVE-2023-38173 betrifft hier nur Microsoft Edge für Android.

Schwachstellen:

CRBUG-1465718

Schwachstellen in Google Chrome und Chromium ermöglichen nicht spezifizierte Angriffe

CVE-2023-35392

Schwachstelle in Microsoft Edge ermöglicht Darstellen falscher Informationen

CVE-2023-3727 CVE-2023-3728

Schwachstellen in Chrome-Komponente WebRTC ermöglichen Ausführen beliebigen Programmcodes

CVE-2023-3730

Schwachstelle in Chrome-Komponente Tab Groups ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-3732

Schwachstelle in Chrome-Komponente Mojo ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-3733

Schwachstelle in Chrome-Komponente WebApp Installs ermöglicht nicht spezifizierte Angriffe

CVE-2023-3734

Schwachstelle in Chrome-Komponente Picture In Picture ermöglicht nicht spezifizierte Angriffe

CVE-2023-3735

Schwachstelle in Chrome-Komponente Web API Permission Prompts ermöglicht nicht spezifizierte Angriffe

CVE-2023-3736

Schwachstelle in Chrome-Komponente Custom Tabs ermöglicht nicht spezifizierte Angriffe

CVE-2023-3737

Schwachstelle in Chrome-Komponente Notifications ermöglicht nicht spezifizierte Angriffe

CVE-2023-3738

Schwachstelle in Chrome-Komponente Autofill ermöglicht nicht spezifizierte Angriffe

CVE-2023-3740

Schwachstelle in Chrome-Komponente Themes ermöglicht vermutlich Denial-of-Service-Angriff

CVE-2023-38173

Schwachstelle in Microsoft Edge für Android ermöglicht Manipulation von Dateien

CVE-2023-38187

Schwachstelle in Microsoft Edge ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.