UPDATE: DFN-CERT-2015-1740 Microsoft .NET Framework: Mehrere Schwachstellen ermöglichen u.a. Cross-Site-Scripting-Angriffe [Windows]

UPDATE: DFN-CERT-2015-1740 Microsoft .NET Framework: Mehrere Schwachstellen ermöglichen u.a. Cross-Site-Scripting-Angriffe [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (11.02.2016):
Microsoft aktualisiert den Sicherheitshinweis MS15-118 in der englischen
Version, da es bei der Installation des Updates 3098785 (betrifft
CVE-2015-6099) zu Komplikationen kommt, wenn Benutzer das .NET Framework
4.6 auf Systemen installieren, auf denen bereits eine vollständig
aktualisierte Version des .NET Frameworks 4.5.x läuft. Dies betrifft die
Betriebssysteme Windows 8.1, Windows RT und Windows Server 2012 R2.
Microsoft stellt eine aktualisierte Version des Updates 3098785 bereit.
Version 1 (11.11.2015):
Neues Advisory

Betroffene Software:

Microsoft .NET Framework 2.0 Sp2
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5.1
Microsoft .NET Framework 4.0
Microsoft .NET Framework 4.5
Microsoft .NET Framework 4.5.1
Microsoft .NET Framework 4.5.2
Microsoft .NET Framework 4.6

Betroffene Plattformen:

Microsoft Windows 7 Sp1 X64
Microsoft Windows 7 Sp1 X86
Microsoft Windows 8 X64
Microsoft Windows 8 X86
Microsoft Windows 8.1 X64
Microsoft Windows 8.1 X86
Microsoft Windows 10 X64
Microsoft Windows 10 X86
Microsoft Windows RT
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 Sp2 Itanium
Microsoft Windows Server 2008 Sp2 X64
Microsoft Windows Server 2008 Sp2 X86
Microsoft Windows Server 2008 R2 Server Core Installation SP1 64-Bit
Microsoft Windows Server 2008 R2 Sp1 Itanium
Microsoft Windows Server 2008 R2 Sp1 X64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 Server Core Installation
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 Server Core Installation
Microsoft Windows Vista Sp2
Microsoft Windows Vista Sp2 X64

Mehrere Schwachstellen im Microsoft .NET Framework führen zu einer
fehlerhaften Behandlung von XML External Entities (XXE), von Werten in
HTTP-Anforderungen durch ASP.NET und zu einer möglichen zur Deaktivierung
der Address Space Layout Randomization (ASLR). Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstellen ausnutzen, z.B. mittels
präparierter Webseiten, um Informationen auszuspähen, beliebigen
Programmcode zur Ausführung zu bringen oder Sicherheitsbeschränkungen zu
umgehen, wodurch das Ausführen von Programmcode erleichtert wird. Auch
administrative Rechte können in einem weiteren Schritt unter Umständen
erlangt werden.

Patch:

Microsoft Sicherheitshinweise MS15-118 (.NET)

https://technet.microsoft.com/de-DE/library/security/MS15-118

Patch:

Microsoft Security Bulletin MS15-118 (.NET, englisch)

https://technet.microsoft.com/en-us/library/security/MS15-118

CVE-2015-6115: Schwachstelle in Microsoft .NET Framework erlaubt Umgehen von
Sicherheitsvorkehrungen

Im Microsoft .NET Framework 2.0 SP2, 3.5 und 3.5.1 existiert eine
Schwachstelle, welche es einem Angreifer unter bestimmten Umständen
ermöglicht, den Address Space Layout Randomisation (ASLR)
Sicherheitsmechanismus zu umgehen. Ein entfernter, nicht authentisierter
Angreifer kann diese Schwachstelle ausnutzen, indem er einen Benutzer dazu
verleitet eine schädliche, präparierte Webseite zu besuchen, um diese
Sicherheitsvorkehrung zu umgehen. In Kombination mit einer weiteren
Schwachstelle, welche die Ausführung beliebigen Programmcodes erlaubt, kann
der Angreifer diesen, aufgrund der leichteren Vorhersage des
Speicheroffsets, zuverlässiger zur Ausführungen bringen.

CVE-2015-6099: Schwachstelle in Microsoft .NET Framework erlaubt
Cross-Site-Scripting

In ASP.NET in Microsoft .NET Framework 4, 4.5, 4.5.1, 4.5.2 und 4.6
existiert eine Schwachstelle aufgrund einer nicht ordnungsgemäßen
Überprüfung von Werten in HTTP-Anforderungen. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, indem er einen
Benutzer zum Besuch einer schädlichen, präparierten Webseite verleitet, um
über einen solchen Wert beliebige Webskripte und HTML in den Browser des
Benutzers einzuschleusen und zur Ausführung zu bringen. Ein solcher
Cross-Site-Scripting (XSS)-Angriff ermöglicht dem Angreifer eine Vielzahl
weiterer Angriffe.

CVE-2015-6096: Schwachstelle in Microsoft .NET Framework erlaubt Ausspähen
von Informationen

Im XML DTD Parser in Microsoft .NET Framework 2.0 SP2, 3.5, 3.5.1, 4, 4.5,
4.5.1, 4.5.2 und 4.6 existiert eine Schwachstelle im Zusammenhang mit der
Behandlung von Referenzen auf Entitäten. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, mittels einer
XML External Entity (XXE) Deklaration, um beliebige Dateien zu lesen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1740/

Microsoft Sicherheitshinweise MS15-118 (.NET):
https://technet.microsoft.com/de-DE/library/security/MS15-118

Schwachstelle CVE-2015-6096 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6096

Schwachstelle CVE-2015-6099 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6099

Schwachstelle CVE-2015-6115 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6115

Microsoft Security Bulletin MS15-118 (.NET, englisch):
https://technet.microsoft.com/en-us/library/security/MS15-118

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben