Skip to content

Der Juli-Patchday war ein 0-Day-Patchday

Microsoft hat am gestrigen Patchday mal wieder einige 0-Day-Schwachstellen behoben. Darunter sowohl bereits für Angriffe ausgenutzte als auch "nur" öffentlich bekannte Schwachstellen.

Und auch Oracle hat an deren Patchday zugeschlagen und die aktuelle 0-Day-Schwachstelle in Java behoben.

Fünf 0-Day-Schwachstellen, darunter 2 kritische, im Internet Explorer

Fangen wir mit dem Security Bulletin MS15-065 für den Internet Explorer an. Das beschert uns Patches für gleich fünf 0-Day-Schwachstellen, von denen eine bereits für Angriffe ausgenutzt wird:

  1. Die gefährlichste Schwachstelle ist CVE-2015-2425, eine Memory Corruption Schwachstelle, die bereits für Angriffe ausgenutzt wird. Weitere Informationen sind bisher nicht bekannt.
  2. Ebenfalls kritisch ist die Schwachstelle CVE -2015-2419: Eine Memory Corruption in der JavaScript-Engine erlaubt die Ausführung beliebigen Codes, wenn eine entsprechend präparierte Webseite aufgerufen wird. Der Angriff ist auch über als "safe for initialization" markierte ActiveX-Controls in Office-Dokumenten möglich.
    Diese Schwachstelle stammt aus dem Fundus von Hacking Team, zumindest wenn ich diesen Blogeintrag von Trend Micro richtig interpretiere. Darin wird eine von Trend Micro in den Hacking-Team-Daten gefundene Schwachstelle in jscript9.dll beschrieben, für die es zwar einen PoC, aber keine Angriffe gibt. Und das stimmt mit Microsofts Angaben zu dieser Schwachstelle überein, auch wenn Trend Micro von CVE-2015-2425 schreibt.
  3. Ab jetzt wird es harmloser: Die Schwachstelle CVE-2015-2421 erlaubt das Unterlaufen der Address Space Layout Randomization (ASLR) und ist zwar bereits öffentlich bekannt, wird bisher aber nicht für Angriffe ausgenutzt.
  4. Unter der CVE-ID CVE-2015-2413 wird eine "Information Disclosure" Schwachstelle, also die Preisgabe von Informationen, geführt: Über Anfragen für Modul-Resourcen kann ein Angreifer testen, ob bestimmte Dateien auf dem angegriffenen Rechner vorhanden sind oder nicht. Auch diese Schwachstelle ist bereits öffentlich bekannt, wird aber bisher nicht für Angriffe ausgenutzt.
  5. Die letzte 0-Day-Schwachstelle ist CVE-2015-2398, ein XSS Filter Bypass. Sie erlaubt also das Umgehen des XSS-Filters des IE. Da Webanwendungen ja generell keine XSS-Schwachstellen enthalten sollten ist der Clientseitige Filter des IE sowieso "nur" eine "Defense in Depth"-Maßnahme. Trotzdem ist es natürlich gut, wenn sie behoben wird. Auch diese Schwachstelle ist bereits öffentlich bekannt, wird aber bisher nicht für Angriffe ausgenutzt.

Ein 0-Day-Exploit für Office

Das Security Bulletin MS15-070 widmet sich Microsoft Office. Eine der darin behandelten Schwachstellen wird bereits für Angriffe ausgenutzt: CVE-2015-2424.

Über entsprechend präparierte Office-Dokumente ist die Ausführung beliebigen Codes möglich. Das ist natürlich kritisch, auch wenn Microsoft die Schwachstelle nur als "Important" einstuft. Der Grund: Um die Schwachstelle auszunutzen, muss der Angreifer sein Opfer dazu bringen, die präparierte Datei zu öffnen. Das ist ja nun wirklich kein größeres Problem, auch wenn Microsoft das wohl gerne so sähe.

Weitere Informationen zur Schwachstelle und/oder den Angriffen darüber liegen bisher nicht vor.

Und ein 0-Day-Exploit für Windows

Die im Security Bulletin MS15-077 beschriebene Schwachstelle CVE-2015-2387 kennen wir bereits: Es ist die Privilegieneskalation über den Adobe Type Manager Font Driver (ATMFD), die von einem Exploit aus dem Fundus von Hacking Team ausgenutzt wird. Auch für diese, bereits für Angriffe ausgenutzte Schwachstelle gibt es damit einen Patch.

Updates installieren!

Jetzt haben Sie einiges zu tun. So langsam wird das unübersichtlich mit den ganzen 0-Day-Schwachstellen und -Exploits in diesem Monat. Damit Sie nicht den Überblick verlieren hier eine Übersicht über die Bulletins, die zur Zeit ausgenutzte Schwachstellen betreffen:

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Neue 0-Day-Schwachstelle im Flash Player wird bereits ausgenutzt

Vorschau anzeigen
In Adobes Flash Player gibt es mal wieder eine 0-Day-Schwachstelle, für die auch schon ein Exploit existiert. Und der wird bereits von Cyberkriminellen eingesetzt. Damit sind wir in diesem Jahr bei insgesamt sechs 0-Day-Exploits, fünf

Dipl.-Inform. Carsten Eilers am : Microsoft patcht außer der Reihe 0-Day-Schwachstelle

Vorschau anzeigen
Am 20. Juli hat Microsoft außer der Reihe ein zusätzliches Security Bulletin veröffentlicht: MS15-078. Eine Schwachstelle in der Windows Adobe Type Manager Library erlaubt die Ausführung eingeschleusten Codes, wenn zum Beispie

Dipl.-Inform. Carsten Eilers am : Microsofts November-Patchday: 4 0-Day-Schwachstellen, aber keine Exploits

Vorschau anzeigen
Am November-Patchday hat Microsoft 4 0-Day-Schwachstellen behoben. Keine davon wird bisher ausgenutzt. Und keine davon ist auch nur im entferntesten kritisch. Noch besser sieht es bei Adobe aus: Im Flash Player wurden zwar 17 Schwachstelle be