DFN-CERT-2014-1629 Microsoft Internet Explorer: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Windows]

DFN-CERT-2014-1629 Microsoft Internet Explorer: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Microsoft Internet Explorer

Betroffene Plattformen:

Microsoft Windows 7 Sp1 X64
Microsoft Windows 7 Sp1 X86
Microsoft Windows 8 X64
Microsoft Windows 8 X86
Microsoft Windows 8.1 X64
Microsoft Windows 8.1 X86
Microsoft Windows Server 2003 Sp2
Microsoft Windows Server 2003 Sp2 Itanium
Microsoft Windows Server 2003 Sp2 X64
Microsoft Windows RT
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 Sp2 Itanium
Microsoft Windows Server 2008 Sp2 X64
Microsoft Windows Server 2008 Sp2 X86
Microsoft Windows Server 2008 R2 Sp1 Itanium
Microsoft Windows Server 2008 R2 Sp1 X64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Vista Sp2
Microsoft Windows Vista Sp2 X64

Durch Ausnutzen dieser Schwachstelle kann ein entfernter, nicht
authentifizierter Angreifer, unter Einbeziehung eines Benutzers, mittels
einer schädlichen Webseite oder einer schädlichen Datei beliebigen
Programmcode mit den Rechten der Anwendung zur Ausführung bringen. Diese
Schwachstelle wird gemäß Informationen von Heise Security Online (siehe
Referenz) zur Zeit noch nicht aktiv ausgenutzt, allerdings wurde die
kritische Schwachstelle auch mit dem aktuellen Sicherheitsupdate für den
Internet Explorer (siehe Sicherheitsupdate vom 10.12.2014) immer noch nicht
behoben. Anwender sollten deshalb in Erwägung ziehen, solange bis die
Schwachstelle behoben ist, auf andere Browser anderer Hersteller
auszuweichen.

CVE-2014-8967: Use-after-free-Schwachstelle im Internet Explorer erlaubt
Ausführen beliebigen Programmcodes

Eine Schwachstelle besteht darin, wie der Internet Explorer das Zählen von
Referenzen verwendet, um die Lebensdauer von In-Memory-Objekten, welche
HTML-Elemente (“CElement objects”) repräsentieren, zu verwalten. Durch
Anwenden eines CSS-Style von “display:run-in” auf eine Seite und bestimmte
Manipulationen kann ein Objektreferenzzähler verfrüht auf Null fallen,
wodurch das Objekt freigegeben wird. Der Internet Explorer verwendet das
Objekt daraufhin weiter. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, indem er einen Benutzer dazu bringt,
eine schädliche Webseite zu besuchen oder eine schädliche Datei zu öffnen,
um beliebigen Programmcode mit den Rechten der Anwendung auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1629/

Heise Security Online vom 10.12.2014:
http://www.heise.de/newsticker/meldung/Microsoft-Patchday-Drei-kritische-Updates-IE-Luecke-weiter-offen-2485755.html

Schwachstelle CVE-2014-8967 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8967

ZeroDay Security Advisory: ZDI-14-403:
http://zerodayinitiative.com/advisories/ZDI-14-403/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben