UPDATE: DFN-CERT-2016-0056 Microsoft Silverlight: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Windows]

UPDATE: DFN-CERT-2016-0056 Microsoft Silverlight: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (15.01.2016):
Microsoft aktualisiert Microsoft Security Bulletin MS16-006 bezüglich des
Ausnutzungsstatus von CVE-2016-0034, allerdings bislang nur in der
englischen Version. Zum Zeitpunkt der Veröffentlichung erhielt Microsoft
Hinweise darauf, dass in begrenzten Angriffen ein Ausnutzen der
Schwachstelle versucht würde. Kunden die das Update installiert haben,
brauchen keine weiteren Schritte zu unternehmen.
Version 1 (13.01.2016):
Neues Advisory

Betroffene Software:

Microsoft Silverlight 5
Microsoft Silverlight 5 Developer Runtime

Betroffene Plattformen:

Apple Mac OS
Microsoft Windows

Eine Schwachstelle in Microsoft Silverlight ermöglicht einem entfernten,
nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes mit
den Rechten des Benutzers. Sollte der Benutzer Administratorrechte besitzen,
kann dies zur vollständigen Übernahme des Systems durch den Angreifer
führen.

Patch:

Microsoft Sicherheitshinweise MS16-006 (Silverlight)

https://technet.microsoft.com/de-DE/library/security/MS16-006

Patch:

Microsoft Security Bulletin MS16-006 (Silverlight, englisch)

https://technet.microsoft.com/en-us/library/security/MS16-006

CVE-2016-0034: Schwachstelle in Silverlight ermöglicht Ausführen beliebigen
Programmcodes

Es existiert eine Schwachstelle in Microsoft Silverlight bei der Dekodierung
von Strings, wenn ein bösartiger Dekoder verwendet wird. Dadurch kann,
mittels Rückgabe negativer Offsets, Silverlight dazu veranlasst werden
unsichere Objektheader mit Inhalten eines Angreifer zu ersetzen, wodurch
dann beliebiger Programmcode zur Ausführung gebracht werden kann. Ein
Angreifer kann diese Schwachstelle ausnutzen, indem er eine Webseite mit
einer speziell präparierten Silverlight-Applikation bereitstellt und einen
Benutzer verleitet diese zu besuchen. Außerdem kann die Schwachstelle auf
Webseiten ausgenutzt werden, welche von Benutzern bereitstellte Inhalte
veröffentlicht, indem ein Angreifer auf dieser präparierte Inhalte zur
Verfügung stellt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0056/

Microsoft Sicherheitshinweise MS16-006 (Silverlight):
https://technet.microsoft.com/de-DE/library/security/MS16-006

Schwachstelle CVE-2016-0034 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0034

Microsoft Security Bulletin MS16-006 (Silverlight, englisch):
https://technet.microsoft.com/en-us/library/security/MS16-006

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben