DFN-CERT-2016-1156 Apple Safari: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Apple]

DFN-CERT-2016-1156 Apple Safari: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Apple]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apple Safari < 9.1.2 Betroffene Plattformen: Apple Mac OS X 10.9.5 Apple Mac OS X 10.10.5 Apple Mac OS X 10.11.6 Mehrere Schwachstellen in Safari ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes, die Darstellung falscher Informationen, das Ausspähen von Informationen sowie die Durchführung von Denial-of-Service (DoS)- und Cross-Site-Scripting (XSS)-Angriffen mit Hilfe speziell präparierter Webseiten. Apple stellt zur Behebung dieser Schwachstellen die Version 9.1.2 von Safari für OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 und OS X El Capitan v10.11.6 zur Verfügung. Patch: Apple Security Advisory APPLE-SA-2016-07-18-5 / HT206900 (Safari 9.1.2) https://support.apple.com/en-us/HT206900

CVE-2016-4651: Schwachstelle in WebKit ermöglicht Ausführung beliebigen
Programmcodes mit den Rechten des Dienstes

Beim Absenden von Internetformularen an mit HTTP/0.9 kompatible
Nicht-HTTP-Dienste besteht in WebKit JavaScript Bindings die Möglichkeit
eines Cross-Protocol Cross-Site-Scripting-Angriffes (XPXSS). Ein entfernter,
nicht authentifizierter Angreifer kann mit Hilfe einer speziell präparierten
Webseite beliebigen Programmcode im Kontext eines Nicht-HTTP-Dienstes
ausführen.

CVE-2016-4592: Schwachstelle in WebKit ermöglicht Denial-of-Service-Angriff

Durch eine nicht näher spezifizierte Schwachstelle in WebKit kann es zur
Speicherkorruption kommen. Ein entfernter, nicht authentifizierter Angreifer
kann mit Hilfe einer speziell präparierten Webseite einen
Denial-of-Service-Zustand (DoS) des Systems verursachen.

CVE-2016-4591: Schwachstelle in WebKit ermöglicht Ausspähen von
Informationen

Durch fehlerhafte Berechtigungen für die Ortsvariable (Location Variable)
kann ein entfernter, nicht authentifizierter Angreifer mit Hilfe einer
speziell präparierten Webseite Benutzerinformationen aus dem Dateisystem
ausspähen.

CVE-2016-4590: Schwachstelle in WebKit ermöglicht Darstellung falscher
Informationen

Beim Besuch von URLs mit dem Präfix ‘about:’ werden vererbte
Herkunftsangaben (Origin Inheritance) nicht ausreichend geprüft. Ein
entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell
präparierten Webseite falsche Informationen darstellen und in der Folge
möglicherweise Informationen ausspähen.

CVE-2016-4586 CVE-2016-4589 CVE-2016-4622 CVE-2016-4623 CVE-2016-4624:
Schwachstellen in WebKit ermöglichen Ausführung beliebigen Programmcodes

Durch mehrere nicht näher spezifizierte Schwachstellen in WebKit kann es zur
Speicherkorruption kommen. Ein entfernter, nicht authentifizierter Angreifer
kann beliebigen Programmcode ausführen.

CVE-2016-4585: Schwachstelle in WebKit ermöglicht
Cross-Site-Scripting-Angriff

Durch die fehlerhafte Validierung von URLs zur Weiterleitung (Redirection)
in WebKit Page Loading kann ein entfernter, nicht authentifizierter
Angreifer mit Hilfe einer speziell präparierten Webseite einen
Cross-Site-Scripting-Angriff (XSS) durchführen und in der Folge
Informationen ausspähen.

CVE-2016-4584: Schwachstellen in WebKit ermöglichen Ausführung beliebigen
Programmcodes

Durch mehrere nicht näher spezifizierte Schwachstellen in WebKit Page
Loading kann es zur Speicherkorruption kommen. Ein entfernter, nicht
authentifizierter Angreifer kann beliebigen Programmcode ausführen.

CVE-2016-4583: Schwachstelle in WebKit ermöglicht Ausspähen von
Informationen

Durch eine Wettlaufbedingung (Timing Issue) bei der Verarbeitung von
Bilddateien des Typs ‘SVG’ kann ein entfernter, nicht authentifizierter
Angreifer mit Hilfe einer speziell präparierten Webseite Informationen über
Bilddaten anderer Webseiten ausspähen, die ein Benutzer besucht hat.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1156/

Apple Security Advisory APPLE-SA-2016-07-18-5 / HT206900 (Safari 9.1.2):
https://support.apple.com/en-us/HT206900

Schwachstelle CVE-2016-4583 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4583

Schwachstelle CVE-2016-4584 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4584

Schwachstelle CVE-2016-4585 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4585

Schwachstelle CVE-2016-4586 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4586

Schwachstelle CVE-2016-4589 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4589

Schwachstelle CVE-2016-4590 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4590

Schwachstelle CVE-2016-4591 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4591

Schwachstelle CVE-2016-4592 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4592

Schwachstelle CVE-2016-4622 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4622

Schwachstelle CVE-2016-4623 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4623

Schwachstelle CVE-2016-4624 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4624

Schwachstelle CVE-2016-4651 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-4651

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben