DFN-CERT-2017-0544 Apple iCloud: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Windows]

DFN-CERT-2017-0544 Apple iCloud: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

iCloud < 6.2 Betroffene Plattformen: Microsoft Windows 7 Microsoft Windows 8.1 Microsoft Windows 10 Mehrere Schwachstellen in Apple iCloud for Windows ermöglichen auch einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes und das Ausspähen von Informationen. Apple stellt die Version 6.2 von iCloud für Windows als Sicherheitsupdate zur Verfügung, um die Schwachstellen zu beheben. Patch: Apple Security Update APPLE-SA-2017-03-28-1 / HT207607 (iCloud for Windows 6.2) https://support.apple.com/kb/HT207607

CVE-2017-2479 CVE-2017-2480: Schwachstellen in WebKit ermöglichen Ausspähen
von Informationen

Durch eine fehlerhafte Validierung bei der Behandlung von Elementen
existieren zwei Schwachstellen in der Komponente WebKit, die es ermöglichen,
Daten in unerlaubte Bereiche auszuschleusen (Cross-Origin). Ein entfernter,
nicht authentisierter Angreifer kann Informationen ausspähen.

CVE-2017-2463: Schwachstelle in WebKit ermöglicht Ausführung beliebigen
Programmcodes

Eine Schwachstelle in WebKit kann zur Speicherkorruption führen. Ein
entfernter, nicht authentisierter Angreifer kann das mit Hilfe einer
speziell präparierten Anwendung ausnutzen, um beliebigen Programmcode
auszuführen.

CVE-2017-2383: Schwachstelle in APNs Server ermöglicht Ausspähen von
Informationen

In der Komponente APNs Server besteht eine Schwachstelle, weil ein
Client-Zertifikat im Klartext übertragen wird. Ein nicht authentisierter
Angreifer, der sich in einer privilegierten Position im Netzwerk befindet,
kann die Aktivitäten eines Benutzers verfolgen.

CVE-2017-5029: Schwachstelle in Bibliothek libxslt ermöglicht u.a.
Ausführung beliebigen Programmcodes

Es existiert eine Schwachstelle in der Bibliothek libxslt, die auf einem
Ganzzahlüberlauf (Integer Overflow) beruht. Ein entfernter, nicht
authentifizierter Angreifer kann die Schwachstelle ausnutzen, um einen
Denial-of-Service-Zustand zu provozieren und vermutlich auch, um beliebigen
Programmcode zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0544/

Schwachstelle CVE-2017-5029 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-5029

Apple Security Update APPLE-SA-2017-03-28-1 / HT207607 (iCloud for Windows
6.2):
https://support.apple.com/kb/HT207607

Schwachstelle CVE-2017-2383 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2383

Schwachstelle CVE-2017-2463 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2463

Schwachstelle CVE-2017-2479 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2479

Schwachstelle CVE-2017-2480 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-2480

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben