DFN-CERT-2016-0063 Microsoft Internet Explorer: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit Benutzerrechten [Windows]

DFN-CERT-2016-0063 Microsoft Internet Explorer: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit Benutzerrechten [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Microsoft Internet Explorer 7
Microsoft Internet Explorer 8
Microsoft Internet Explorer 9
Microsoft Internet Explorer 10
Microsoft Internet Explorer 11
Microsoft jScript 5.7
Microsoft jScript 5.8
VBScript 5.7
VBScript 5.8

Betroffene Plattformen:

Microsoft Windows 7 Sp1 X64
Microsoft Windows 7 Sp1 X86
Microsoft Windows 8 X64
Microsoft Windows 8 X86
Microsoft Windows 8.1 X64
Microsoft Windows 8.1 X86
Microsoft Windows 10 X64
Microsoft Windows 10 X86
Microsoft Windows 10 X64 v1511
Microsoft Windows 10 X86 v1511
Microsoft Windows RT
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 Microsoft Server 2008 64-Bit SP2 Server Core
Installation
Microsoft Windows Server 2008 Microsoft Server 2008 32-Bit SP2 Server Core
Installation
Microsoft Windows Server 2008 Sp2 Itanium
Microsoft Windows Server 2008 Sp2 X64
Microsoft Windows Server 2008 Sp2 X86
Microsoft Windows Server 2008 R2 Server Core Installation SP1 64-Bit
Microsoft Windows Server 2008 R2 Sp1 Itanium
Microsoft Windows Server 2008 R2 Sp1 X64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Vista Sp2
Microsoft Windows Vista Sp2 X64

Eine Schwachstelle im Microsoft Internet Explorer, bzw. dessen JScript und
VBScript Modul, kann von einem entfernten, nicht authentifizierten Angreifer
zur Ausführung beliebigen Programmcodes mit den Rechten des Benutzers
ausgenutzt werden, d.h. unter Umständen mit Administratorrechten, falls der
Benutzer als ein solcher angemeldet ist. Eine weitere Schwachstelle bei der
Durchsetzung von Cross Domain Policies erlaubt dem Angreifer diesen
Programmcode mit einer höheren Integritätsstufe (Medium statt Low)
auszuführen. Die Schwachstellen betreffen jeweils verschiedene Versionen des
Internet Explorers auf unterschiedlichen Varianten von Windows (siehe
Microsoft Sicherheitshinweise MS16-001 – Internet Explorer).

Patch:

Microsoft Sicherheitshinweise MS16-001 (Internet Explorer)

https://technet.microsoft.com/de-DE/library/security/MS16-001

Patch:

Microsoft Sicherheitshinweise MS16-003 (JScript und VBScript)

https://technet.microsoft.com/de-DE/library/security/MS16-003

CVE-2016-0005: Schwachstelle im Internet Explorer erlaubt
Privilegieneskalation

Der Microsoft Internet Explorer enthält einen Fehler bei der Durchsetzung
von Cross Domain Policies. Ein entfernter, nicht authentifizier Angreifer
kann diese Schwachstelle ausnutzen, um Webseiten und Scriptcode mit
erweiterten Integritätsstufen, z.B. Medium statt Low, darzustellen bzw. zur
Ausführung zu bringen, d.h. seine Privilegien zu eskalieren. Dies kann bei
der Ausnutzung weiterer Schwachstellen hilfreich sein.

CVE-2016-0002: Schwachstelle in den VBScript und JScript Engines des
Microsoft Internet Explorers

In den VBScript und JScript Engines des Microsoft Internet Explorers
existiert eine Schwachstelle im Zusammenhang mit dem Rendering und Zugriffen
auf interne Objekte. Ein Angreifer kann diese Schwachstelle ausnutzen, indem
er einen Benutzer auf eine Webseite mit speziell präparierten Inhalten
lockt, wodurch es zu einer Speicherkorruption kommt. Ein entfernter, nicht
authentifizierter Angreifer kann beliebigen Programmcode mit den Rechten des
Benutzers zur Ausführung bringen. Sollte der Benutzer Administratorrechte
besitzen, kann dies zur vollständigen Übernahme des Systems durch den
Angreifer führen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0063/

Microsoft Sicherheitshinweise MS16-001 (Internet Explorer):
https://technet.microsoft.com/de-DE/library/security/MS16-001

Microsoft Sicherheitshinweise MS16-003 (JScript und VBScript):
https://technet.microsoft.com/de-DE/library/security/MS16-003

Schwachstelle CVE-2016-0002 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0002

Schwachstelle CVE-2016-0005 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0005

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben