Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
iCloud < 6.1 Betroffene Plattformen: Microsoft Windows 7 Microsoft Windows 8.1 Microsoft Windows 10 Mehrere Schwachstellen in dem von Apple iCloud for Windows verwendeten WebKit ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes, das Ausspähen und Manipulieren von Informationen sowie die Durchführung eines Denial-of-Service-Angriffs. Eine weitere Schwachstelle in Windows Security kann von einem lokalen, einfach authentifizierten Angreifer für das Ausspähen von Informationen ausgenutzt werden. Apple stellt die Version 6.1 von iCloud für Windows als Sicherheitsupdate zur Verfügung, um die Schwachstellen zu beheben. Patch: Apple Security Update APPLE-SA-2016-12-13-4 / HT207424 (iCloud für Windows 6.1) https://support.apple.com/kb/HT207424
CVE-2016-7614: Schwachstelle in Windows Security ermöglicht Ausspähen von
Informationen
Aufgrund einer Schwachstelle in Windows Security im iCloud Desktop Client
werden sensible Benutzerdaten nicht ordnungsgemäß aus dem Speicher entfernt.
Ein lokaler Benutzer, als Angreifer, kann die Schwachstelle zum Ausspähen
von Informationen ausnutzen.
CVE-2016-7642 CVE-2016-7645 CVE-2016-7646 CVE-2016-7648 CVE-2016-7649
CVE-2016-7654: Schwachstelle in WebKit ermöglicht Ausführen beliebigen
Programmcodes
Bei der Verarbeitung bösartig präparierter Webinhalte durch WebKit kann es
an mehreren Stellen zu einer Speicherkorruption kommen (Memory Corruption).
Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstellen
ausnutzen, um beliebigen Programmcode auszuführen.
CVE-2016-7632: Schwachstelle in WebKit ermöglicht u.a. Ausführung beliebigen
Programmcodes
Bei der Verarbeitung bösartig präparierter Webinhalte durch WebKit kann es
zu einer Speicherkorruption kommen (Memory Corruption). Ein entfernter,
nicht authentifizierter Angreifer kann die Schwachstelle ausnutzen, um eine
Anwendung unerwartet zu beenden oder um beliebigen Programmcode zur
Ausführung zu bringen.
CVE-2016-7599: Schwachstelle in WebKit ermöglicht Ausspähen von
Informationen
Bei der Verarbeitung bösartig präparierter Webinhalte durch WebKit kann es
beim Umgang mit HTTP-Weiterleitungen aufgrund der unzureichenden Umsetzung
der Cross-Origin-Policy zu einer Offenlegung von Benutzerinformationen
kommen. Ein entfernter, nicht authentifizierter Angreifer kann die
Schwachstelle ausnutzen, um Informationen auszuspähen.
CVE-2016-7598: Schwachstelle in WebKit ermöglicht Ausspähen von
Informationen
Bei der Verarbeitung bösartig präparierter Webinhalte durch WebKit kann es
zu einem Speicherzugriff auf nicht initialisierten Speicher kommen. Ein
entfernter, nicht authentifizierter Angreifer kann die Schwachstelle
ausnutzen, um Prozessinformationen auszuspähen.
CVE-2016-7592: Schwachstelle in WebKit ermöglicht Manipulation von Daten
Durch eine Schwachstelle in WebKit kann es beim Umgang mit
JavaScript-Prompts zur Kompromittierung von Benutzerinformationen kommen.
Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstelle
ausnutzen, indem er einen Benutzer verleitet eine bösartig präparierte
Webseite zu besuchen und dadurch Benutzerinformationen kompromittieren.
CVE-2016-7589: Schwachstelle in WebKit ermöglicht Ausführen beliebigen
Programmcodes
Bei der Verarbeitung bösartig präparierter Webinhalte durch WebKit kann es
zu einer Speicherkorruption kommen (Memory Corruption). Ein entfernter,
nicht authentifizierter Angreifer kann die Schwachstelle ausnutzen, um
beliebigen Programmcode auszuführen.
CVE-2016-7587 CVE-2016-7610 CVE-2016-7611 CVE-2016-7639 CVE-2016-7640
CVE-2016-7641: Schwachstellen in WebKit ermöglichen Ausführen beliebigen
Programmcodes
Bei der Verarbeitung bösartig präparierter Webinhalte durch WebKit kann es
an mehreren Stellen zu einer Speicherkorruption kommen (Memory Corruption).
Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstellen
ausnutzen, um beliebigen Programmcode auszuführen.
CVE-2016-7586: Schwachstelle in WebKit ermöglicht Ausspähen von
Informationen
Bei der Verarbeitung bösartig präparierter Webinhalte durch WebKit kann es
zu Problemen bei der Validierung kommen. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstelle ausnutzen, um
Benutzerinformationen auszuspähen.
CVE-2016-4743 CVE-2016-7656: Schwachstellen in WebKit ermöglichen Ausspähen
von Informationen
Bei der Verarbeitung bösartig präparierter Webinhalte durch WebKit kann es
zur Aufdeckung von Speicherinhalten kommen. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstellen ausnutzen, um
Prozessinformationen auszuspähen.
CVE-2016-4692 CVE-2016-7635 CVE-2016-7652: Schwachstellen in WebKit
ermöglichen Ausführen beliebigen Programmcodes
Bei der Verarbeitung speziell präparierter Webinhalte durch WebKit kann es
zu mehreren Speicherkorruptionen kommen (Memory Corruption). Ein entfernter,
nicht authentifizierter Angreifer kann die Schwachstellen ausnutzen, um
beliebigen Programmcode auszuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-2068/
Apple Security Update APPLE-SA-2016-12-13-4 / HT207424 (iCloud für Windows
6.1):
https://support.apple.com/kb/HT207424
Schwachstelle CVE-2016-4692 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4692
Schwachstelle CVE-2016-4743 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4743
Schwachstelle CVE-2016-7586 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7586
Schwachstelle CVE-2016-7587 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7587
Schwachstelle CVE-2016-7589 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7589
Schwachstelle CVE-2016-7592 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7592
Schwachstelle CVE-2016-7598 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7598
Schwachstelle CVE-2016-7599 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7599
Schwachstelle CVE-2016-7610 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7610
Schwachstelle CVE-2016-7611 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7611
Schwachstelle CVE-2016-7614 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7614
Schwachstelle CVE-2016-7632 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7632
Schwachstelle CVE-2016-7635 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7635
Schwachstelle CVE-2016-7639 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7639
Schwachstelle CVE-2016-7640 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7640
Schwachstelle CVE-2016-7641 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7641
Schwachstelle CVE-2016-7642 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7642
Schwachstelle CVE-2016-7645 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7645
Schwachstelle CVE-2016-7646 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7646
Schwachstelle CVE-2016-7648 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7648
Schwachstelle CVE-2016-7649 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7649
Schwachstelle CVE-2016-7652 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7652
Schwachstelle CVE-2016-7654 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7654
Schwachstelle CVE-2016-7656 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7656
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
