DFN-CERT-2013-1755 Microsoft .NET: Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit Administratorrechten [Windows]

DFN-CERT-2013-1755 Microsoft .NET: Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit Administratorrechten [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Microsoft .NET Framework <= 2.0 Sp2 Microsoft .NET Framework <= 3.0 Sp2 Microsoft .NET Framework <= 3.5 Microsoft .NET Framework <= 3.5 Sp1 Microsoft .NET Framework <= 3.5.1 Microsoft .NET Framework <= 4.0 Microsoft .NET Framework <= 4.5 Betroffene Plattformen: Windows Mehrere Schwachstellen im Microsoft .NET Framework können beim Surfen auf eine manipulierte Webseite zur Ausführung von Schadsoftware führen. Ein entfernter, nicht authentifizierter Angreifer kann so die Kontrolle über den verwendeten Rechner erlangen. Auch wenn nicht alle Schwachstellen auf alle Versionen des .NET Frameworks zutreffen, ist für jede unterstützte Version ein Update angeraten. Patch: Microsoft Hersteller-Advisory MS13-082 http://technet.microsoft.com/de-de/security/bulletin/MS13-082

CVE-2013-3861: Schwachstelle im .NET Framework bei JSON-Daten

In dem Microsoft .NET Framework existiert eine Schwachstelle bei der
Verarbeitung von speziellen JavaScript Object Notation (JSON) Daten. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
nutzen, um einen Denial-of-Service-Zustand des Servers oder der Applikation
hervorzurufen, in dem er spezielle JavaScript Object Notation (JSON) Daten
zum Verarbeiten sendet.

CVE-2013-3860: Schwachstelle im .NET Framework bei signierten XML-Daten

In dem Microsoft .NET Framework existiert eine Schwachstelle bei der
Verarbeitung von signierten XML Daten mit einer speziell aufgebauten
Document Type Definition (DTD). Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle nutzen, um einen
Denial-of-Service-Zustand beim Server oder der Applikation herbeizuführen.
Hierzu muss der Angreifer lediglich signierte XML Daten mit einer
entsprechend aufgebauten DTD zum Parsen und Validieren senden.

CVE-2013-3128: Schwachstelle in OpenType fonts

Eine Schwachstelle in Windows führt dazu, dass OpenType fonts nicht korrekt
geparst werden. Ein entfernter, nicht authentifizierter Angreifer kann durch
ein präpariertes Dokument mit eingebetteten Fonts beliebige Befehle mit
Administrator-Rechten ausführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1755/

Microsoft Hersteller-Advisory MS13-082:
http://technet.microsoft.com/de-de/security/bulletin/MS13-082

Schwachstelle CVE-2013-3128 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3128

Schwachstelle CVE-2013-3860 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3860

Schwachstelle CVE-2013-3861 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-3861

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben