Open Source im professionellen Einsatz

DFN-CERT-2017-1619 Microsoft ChakraCore, .NET Framework: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Windows]

13.09.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Microsoft .NET Framework 2.0 SP2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 4.5.2
Microsoft .NET Framework 4.6
Microsoft .NET Framework 4.6.1
Microsoft .NET Framework 4.6.2
Microsoft .NET Framework 4.7
ChakraCore


Betroffene Plattformen:

Microsoft Windows 7 SP1 x64
Microsoft Windows 7 SP1 x86
Microsoft Windows 8.1 x64
Microsoft Windows 8.1 x86
Microsoft Windows 10 x64
Microsoft Windows 10 x86
Microsoft Windows 10 x64 v1511
Microsoft Windows 10 x86 v1511
Microsoft Windows 10 x64 v1607
Microsoft Windows 10 x86 v1607
Microsoft Windows 10 x64 v1703
Microsoft Windows 10 x86 v1703
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 SP2 Itanium
Microsoft Windows Server 2008 SP2 x64
Microsoft Windows Server 2008 SP2 x86
Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation
Microsoft Windows Server 2008 R2 SP1 Itanium
Microsoft Windows Server 2008 R2 SP1 x64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 Server Core Installation
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 Server Core Installation
Microsoft Windows Server 2016
Microsoft Windows Server 2016 Server Core Installation



Eine Schwachstelle in Microsoft ChakraCore und eine weitere Schwachstelle in
Microsoft .NET Framework ermöglichen einem entfernten, nicht authentisierten
Angreifer die Ausführung beliebigen Programmcodes, wodurch ein System unter
Umständen vollständig übernommen werden kann.

Die von Microsoft bereitgestellten Sicherheitsupdates beheben die
Schwachstellen, indem korrigiert wird, wie die Chakra JavaScript Scripting
Engine Objekte im Speicher behandelt bzw. wie .NET-Anwendungen mit Anfragen
umgehen.


Patch:

Microsoft Security Update Guide

<https://portal.msrc.microsoft.com/en-us/security-guidance>


CVE-2017-8759: Schwachstelle in Microsoft .NET Framework ermöglicht
Ausführen beliebigen Programmcodes

In Software, die Microsoft .NET Framework verwendet, existiert eine
Schwachstelle aufgrund der Verarbeitung nicht vertrauenswürdiger Eingaben.
Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, indem er einen Benutzer dazu verleitet, ein schädliches Dokument
oder eine schädliche Anwendung zu öffnen, um beliebigen Programmcode zur
Ausführung zu bringen. Wenn der Benutzer mit Administratorrechten angemeldet
ist, kann der Programmcode mit diesen Rechten ausgeführt werden. Unter
Umständen kann der Angreifer die Kontrolle über ein betroffenes System
vollständig übernehmen und dann Programme installieren, Daten anzeigen,
ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten
erstellen.


CVE-2017-8658: Schwachstelle in Chakra JavaScript-Engine ermöglicht
Ausführen beliebigen Programmcodes

In der Chakra JavaScript-Engine, die unter anderem von Microsoft Edge
benutzt wird, existiert eine Speicherkorruptions-Schwachstelle (Memory
Corruption) aufgrund der Verarbeitung bestimmter Objekte im Speicher. Ein
entfernter, nicht authentifizierter Angreifer kann dadurch beliebigen
Programmcode mit den Rechten des Benutzers ausführen. Dazu leitet er einen
Benutzer auf eine präparierte Webseite oder eine Webseite, die von Benutzern
bereitgestellte Inhalte oder Werbung akzeptiert oder wiedergibt. Falls der
Anwender mit Administratorrechten ausgestattet ist, kann dies zu einer
vollständigen Kontrolle des Systems durch den Angreifer führen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-1619/>

Microsoft Security Update Guide:
<https://portal.msrc.microsoft.com/en-us/security-guidance>

Schwachstelle CVE-2017-8658 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8658>

Microsoft September 2017 Sicherheitsupdates:
<https://portal.msrc.microsoft.com/de-de/security-guidance/releasenotedetail/5984735e-f651-e711-80dd-000d3a32fc99>

Schwachstelle CVE-2017-8759 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8759>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.