Am September-Patchday hat Microsoft zwei Schwachstellen behoben, die
bereits für Angriffe ausgenutzt werden: Eine Code Execution in
Microsoft Office und eine Privilegieneskalation in Microsoft Graphics.
Außerdem wurden vier weitere 0-Day-Schwachstellen behoben, die bisher
nicht für Angriffe ausgenutzt werden. Bei den kritischen
0-Day-Schwachstellen sind wir damit in diesem Jahr bei
insgesamt
15 Schwachstellen mit 0-Day-Exploit und 3 Schwachstellen ohne Exploit
angekommen.
Microsoft hat gestern
außer der Reihe
ein Update für den Internet Explorer veröffentlicht. Laut dem
zugehörigen Security Bulletin
MS15-093
wird die Schwachstelle mit der CVE-ID
CVE-2015-2502
bereits für Angriffe ausgenutzt. Was aber zu erwarten war, denn warum
sonst sollte Microsoft das Update außer der Reihe
veröffentlichen?
Damit sind wir
in diesem Jahr
bei 14 0-Day-Exploits angekommen. Ungeschlagener Spitzenreiter ist nach
wie vor der Flash Player mit bisher sieben Exploits. Außerdem gab es
drei für Microsoft Office, mit dem heutigen ebenfalls drei für
den Internet Exlorer und einen für Java.
Auch am August-Patchday hat Microsoft mal wieder 0-Day-Schwachstellen
behoben, die bereits für Angriffe ausgenutzt werden: Eine Remote Code
Execution in Microsoft Office und eine Privilegieneskalation im Mount
Manager, die wohl auch zum Einschleusen von Code genutzt werden kann, sofern
der Angreifer einen USB-Stick anschließen (lassen) kann.
Damit sind wir bei 13 0-Day-Exploits
in diesem Jahr
angekommen. Ungeschlagener Spitzenreiter ist der Flash Player mit bisher
sieben Exploits. Außerdem gab es drei für Microsoft Office,
zwei für den Internet Exlorer und einen für Java.
Joshua J. Drake von den Zimperium zLabs hat
mehrere Schwachstellen
in der Multimedia-Bibliothek
Stagefright
von Android entdeckt, die die Ausführung beliebigen Codes erlauben. Und
von Trend Micro wurde darin
eine Schwachstelle
entdeckt, über die das Gerät nahezu komplett lahm gelegt werden kann.
Die Zero Day Initiative (ZDI) hat vier 0-Day-Schwachstellen im Internet
Explorer veröffentlicht. Das passiert automatisch 120 Tage, nachdem
die Schwachstelle den betreffenden Hersteller gemeldet wurde, sofern die
Schwachstelle nicht zuvor gepatcht wurde. Microsoft hat diese Frist sowie
eine zugestandene Verlängerung bei diesen vier Schwachstellen
ungenutzt verstreichen lassen:
Update 24. Juli:
ZDI hat die Advisories gestern
überarbeitet:
Es ist nur die Mobile-Version des IE betroffen und nicht wie ursprünglich
gemeldet auch die Desktop-Version. In der hat Microsoft die Schwachstellen
bereits behoben.
Ende des Updates
Am 20. Juli hat Microsoft
außer der Reihe
ein zusätzliches Security Bulletin veröffentlicht:
MS15-078.
Eine Schwachstelle in der Windows Adobe Type Manager Library erlaubt die
Ausführung eingeschleusten Codes, wenn zum Beispiel eine entsprechend
präparierte Webseite aufgerufen oder eine entsprechend
präparierte Datei geöffnet wird.
Microsoft hat am gestrigen Patchday mal wieder einige 0-Day-Schwachstellen
behoben. Darunter sowohl bereits für Angriffe ausgenutzte als auch
"nur" öffentlich bekannte Schwachstellen.
Und auch Oracle hat an deren Patchday zugeschlagen und die aktuelle
0-Day-Schwachstelle
in Java behoben.
Fünf 0-Day-Schwachstellen, darunter 2 kritische, im Internet Explorer
Es gibt schon wieder neue 0-Day-Schwachstellen im Flash Player, diesmal
gleich 2 Stück auf einmal. Wie
die vorherige
wurden sie in den Daten von Hacking Team gefunden, und zumindest eine der
beiden Schwachstellen wird auch schon von Exploit-Kits ausgenutzt.
Update 14.7.2015:
Adobe hat ein
Security Bulletin
veröffentlicht, die Schwachstellen wurden in Version 18.0.0.209 behoben.
Ende des Updates
Ein weiterer 0-Day-Exploit betrifft Java, mit dem hat Hacking Team aber
nichts zu tun (zumindest wurde er nicht in deren Daten gefunden).
Update 15.7.2015:
Oracle hat die Schwachstelle
behoben.
Für weitere Informationen siehe unten.
Ende des Updates
In Adobes Flash Player gibt es mal wieder eine 0-Day-Schwachstelle,
für die auch schon ein Exploit existiert. Und der wird bereits von
Cyberkriminellen eingesetzt. Damit sind wir in diesem Jahr bei insgesamt
sechs
0-Day-Exploits, fünf davon gehen auf die Kappe des Flash Players.
Außerdem gibt es noch eine 0-Day-Schwachstelle im Windows Kernel, aber die
erlaubt "nur" eine Privilegieneskalation und wird zusammen mit der
Schwachstelle im Flash Player ausgenutzt.
Adobe hat am 23. Juni einen außerplanmäßigen Patch
veröffentlicht,
um eine bereits für Angriffe ausgenutzte Schwachstelle im Flash Player zu
beheben. Dies ist die
fünfte
0-Day-Schwachstelle in diesem Jahr - und die vierte im Flash Player.