DFN-CERT-2014-1623 Microsoft Windows: Zwei Schwachstellen ermöglichen das Erlangen von Benutzerrechten und Ausspähen von Informationen [Windows]

DFN-CERT-2014-1623 Microsoft Windows: Zwei Schwachstellen ermöglichen das Erlangen von Benutzerrechten und Ausspähen von Informationen [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

VBScript 5.6
VBScript 5.7
VBScript 5.8

Betroffene Plattformen:

Microsoft Windows 7 Sp1
Microsoft Windows 7 Sp1 X64
Microsoft Windows 8 X64
Microsoft Windows 8 X86
Microsoft Windows 8.1 X64
Microsoft Windows 8.1 X86
Microsoft Windows Server 2003 Sp2
Microsoft Windows Server 2003 Sp2 Itanium
Microsoft Windows Server 2003 Sp2 X64
Microsoft Windows RT
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 Sp2
Microsoft Windows Server 2008 Sp2 Itanium
Microsoft Windows Server 2008 Sp2 X64
Microsoft Windows Server 2008 R2 Sp1 Itanium
Microsoft Windows Server 2008 R2 Sp1 X64
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Vista Sp2
Microsoft Windows Vista Sp2 X64

Zwei Schwachstellen in Microsoft Windows ermöglichen einem entfernten, nicht
authentifizierten Angreifer Informationen auszuspähen und die Rechte des
angemeldeten Benutzers zu erlangen.

Die Schwachstelle CVE-2014-6363 bezieht sich auf VBScript-Versionen, die im
Internet Explorer bis einschließlich Version 8 installiert sind. Der
Internet Explorer wird durch dieses Sicherheitsupdate nicht aktualisiert,
nur das enthaltene VBScript-Modul. Für den Internet Explorer wurden heute
allerdings ebenfalls Sicherheitsupdates veröffentlicht.

Patch:

Microsoft Security Bulletin MS14-084 (Windows Skriptmodul VBScript)

https://technet.microsoft.com/de-de/library/security/ms14-084

Patch:

Microsoft Security Bulletin MS14-085 (Windows Graphics-Komponente)

https://technet.microsoft.com/de-de/library/security/ms14-085

CVE-2014-6355: Schwachstelle in Microsoft Graphics-Komponente ermöglicht
Ausspähen von Informationen

Eine Schwachstelle in der Microsoft Graphics-Komponente führt dazu, dass es
bei der Verarbeitung von JPEG Bildern zu Fehlern kommt, durch die es möglich
ist, den Speicheroffset bestimmter Anweisungen sicher vorherzusagen. Dieses
ermöglicht weitere Angriffe bei denen die Kenntnis der Speicheradresse einer
Anweisung notwendig ist. Ein entfernter, nicht authentifizierter Angreifer
kann Zugriff auf sensible Informationen erhalten.

CVE-2014-6363: Schwachstelle in VBScript ermöglicht das Erlangen von
Benutzerrechten

Eine Schwachstelle bei der Verarbeitung von VBScript-Modul-Objekten im
Speicher führt dazu, dass es möglich ist die Rechte des Benutzers zu
erlangen, der die Anwendung ausführt. Diese Schwachstelle tritt in
Verbindung mit dem Internet Explorer beim Besuchen von präparierten
Webseiten und bei als „initialisierungssicher“ gekennzeichneten Active-X
Steuerelementen, die in Office Dokumente eingebettet werden, auf. Ein
entfernter, nicht authentifizierter Angreifer kann die Benutzerrechte des
aktiven Benutzers erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1623/

Microsoft Security Bulletin MS14-084 (Windows Skriptmodul VBScript):
https://technet.microsoft.com/de-de/library/security/ms14-084

Microsoft Security Bulletin MS14-085 (Windows Graphics-Komponente):
https://technet.microsoft.com/de-de/library/security/ms14-085

Schwachstelle CVE-2014-6355 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6355

Schwachstelle CVE-2014-6363 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6363

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben