Der Juli-Patchday war ein 0-Day-Patchday
Microsoft hat am gestrigen Patchday mal wieder einige 0-Day-Schwachstellen behoben. Darunter sowohl bereits für Angriffe ausgenutzte als auch "nur" öffentlich bekannte Schwachstellen.
Und auch Oracle hat an deren Patchday zugeschlagen und die aktuelle 0-Day-Schwachstelle in Java behoben.
Fünf 0-Day-Schwachstellen, darunter 2 kritische, im Internet Explorer
Fangen wir mit dem Security Bulletin MS15-065 für den Internet Explorer an. Das beschert uns Patches für gleich fünf 0-Day-Schwachstellen, von denen eine bereits für Angriffe ausgenutzt wird:
- Die gefährlichste Schwachstelle ist CVE-2015-2425, eine Memory Corruption Schwachstelle, die bereits für Angriffe ausgenutzt wird. Weitere Informationen sind bisher nicht bekannt.
- Ebenfalls kritisch ist die Schwachstelle
CVE -2015-2419:
Eine Memory Corruption in der JavaScript-Engine erlaubt die
Ausführung beliebigen Codes, wenn eine entsprechend
präparierte Webseite aufgerufen wird. Der Angriff ist auch
über als "safe for initialization" markierte ActiveX-Controls in
Office-Dokumenten möglich.
Diese Schwachstelle stammt aus dem Fundus von Hacking Team, zumindest wenn ich diesen Blogeintrag von Trend Micro richtig interpretiere. Darin wird eine von Trend Micro in den Hacking-Team-Daten gefundene Schwachstelle injscript9.dll
beschrieben, für die es zwar einen PoC, aber keine Angriffe gibt. Und das stimmt mit Microsofts Angaben zu dieser Schwachstelle überein, auch wenn Trend Micro von CVE-2015-2425 schreibt. - Ab jetzt wird es harmloser: Die Schwachstelle CVE-2015-2421 erlaubt das Unterlaufen der Address Space Layout Randomization (ASLR) und ist zwar bereits öffentlich bekannt, wird bisher aber nicht für Angriffe ausgenutzt.
- Unter der CVE-ID CVE-2015-2413 wird eine "Information Disclosure" Schwachstelle, also die Preisgabe von Informationen, geführt: Über Anfragen für Modul-Resourcen kann ein Angreifer testen, ob bestimmte Dateien auf dem angegriffenen Rechner vorhanden sind oder nicht. Auch diese Schwachstelle ist bereits öffentlich bekannt, wird aber bisher nicht für Angriffe ausgenutzt.
- Die letzte 0-Day-Schwachstelle ist CVE-2015-2398, ein XSS Filter Bypass. Sie erlaubt also das Umgehen des XSS-Filters des IE. Da Webanwendungen ja generell keine XSS-Schwachstellen enthalten sollten ist der Clientseitige Filter des IE sowieso "nur" eine "Defense in Depth"-Maßnahme. Trotzdem ist es natürlich gut, wenn sie behoben wird. Auch diese Schwachstelle ist bereits öffentlich bekannt, wird aber bisher nicht für Angriffe ausgenutzt.
Ein 0-Day-Exploit für Office
Das Security Bulletin MS15-070 widmet sich Microsoft Office. Eine der darin behandelten Schwachstellen wird bereits für Angriffe ausgenutzt: CVE-2015-2424.
Über entsprechend präparierte Office-Dokumente ist die Ausführung beliebigen Codes möglich. Das ist natürlich kritisch, auch wenn Microsoft die Schwachstelle nur als "Important" einstuft. Der Grund: Um die Schwachstelle auszunutzen, muss der Angreifer sein Opfer dazu bringen, die präparierte Datei zu öffnen. Das ist ja nun wirklich kein größeres Problem, auch wenn Microsoft das wohl gerne so sähe.
Weitere Informationen zur Schwachstelle und/oder den Angriffen darüber liegen bisher nicht vor.
Und ein 0-Day-Exploit für Windows
Die im Security Bulletin MS15-077 beschriebene Schwachstelle CVE-2015-2387 kennen wir bereits: Es ist die Privilegieneskalation über den Adobe Type Manager Font Driver (ATMFD), die von einem Exploit aus dem Fundus von Hacking Team ausgenutzt wird. Auch für diese, bereits für Angriffe ausgenutzte Schwachstelle gibt es damit einen Patch.
Updates installieren!
Jetzt haben Sie einiges zu tun. So langsam wird das unübersichtlich mit den ganzen 0-Day-Schwachstellen und -Exploits in diesem Monat. Damit Sie nicht den Überblick verlieren hier eine Übersicht über die Bulletins, die zur Zeit ausgenutzte Schwachstellen betreffen:
- Adobes APSB15-18 behebt die aktuell ausgenutzten 0-Day-Schwachstellen im Flash Player.
- Microsofts MS15-065 für den Internet Explorer behebt unter anderem die oben beschriebene, bereits für Angriffe ausgenutzte Schwachstelle.
- Microsofts MS15-070 für Microsoft Office korrigiert unter anderem die oben beschriebene, bereits für Angriffe ausgenutzte Schwachstelle.
- Oracles Critical Patch Update für Juli enthält unter anderem Patches für die aktuell ausgenutzte 0-Day-Schwachstelle in Java.
- Microsofts MS15-077 für Windows korrigiert die zur Zeit ausgenutzte Schwachstelle im ATM Font Driver.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Neue 0-Day-Schwachstelle im Flash Player wird bereits ausgenutzt
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Microsoft patcht außer der Reihe 0-Day-Schwachstelle
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Microsofts November-Patchday: 4 0-Day-Schwachstellen, aber keine Exploits
Vorschau anzeigen