Dipl.-Inform. Carsten Eilers

Die erste bereits für Angriffe ausgenutzte 0-Day-Schwachstelle hat die CVE-ID CVE-2015-6124 und wird im als kritisch eingestuften Security Bulletin MS15-131 beschrieben.

Es handelt sich um eine Memory Corruption in MS Office, die über präparierte Dateien zur Ausführung eingeschleusten Codes ausgenutzt werden kann. Weitere Informationen, zum Beispiel welches der Office-Programme betroffen ist und/oder über welche Dateiformate die Schwachstelle ausgenutzt wird, gibt es bisher nicht.

Privilegieneskalation im Windows-Kernel

Die zweite bereits für Angriffe ausgenutzte Schwachstelle wird in Security Bulletin MS15-135 mit der Einstufung "Important" beschrieben und hat die CVE-ID CVE-2015-6175.

Es handelt sich um eine Privilegien-Eskalation im Windows-Kernel. Ein Angreifer, der bereits Code auf einem Rechner ausführen kann, kann darüber Code im Kernel-Mode ausführen.

Auch hierzu gibt es keine weiterführenden Informationen, wenn man mal davon absieht, dass in der Übersichtstabelle sowohl bei "Publicly disclosed" als auch bei "Exploited" jeweils ein "Yes" steht. Wo und wie die Schwachstelle ausgenutzt wird, wird zumindest von Microsoft nicht verraten.

Ich tippe in beiden Fällen mal wieder auf die "üblichen Verdächtigen": Gezielte, "staatlich gesponserte" Angriffe auf hochrangige Ziele wie Regierungen, Behörden, ... .

0-Day-Schwachstelle im XSS-Filter des IE

Außer dem beiden bereits für Angriffe ausgenutzten Schwachstellen wurde eine weitere 0-Day-Schwachstelle behoben, die bisher nicht für Angriffe ausgenutzt wird: CVE-2015-6164 ist eine Schwachstelle im XSS-Filter des IE. Cross-Domain-Policies werden nicht korrekt erzwungen, so dass Informationen aus einer Domain gelesen und in einer anderen eingefügt werden können.

Das zugehörige Security Bulletin ist MS15-124, der Patch für die Schwachstelle wird als "Important" eingestuft.

Auch hier gilt wieder: Nichts genaues weiß man nicht.

Microsoft ist ein privater Schlüssel abhanden gekommen...

In einem Security Advisory warnt Microsoft vor einem SSL/TLS-Zertifikat für *.xboxlive.com, dessen privater Schlüssel veröffentlicht wurde. Das Zertifikat kann für MitM-Angriffe ausgenutzt werden.

Microsoft hat das Zertifikat zurückgezogen und die Certificate Trust Lists (CTL) aller unterstützten Windows-Versionen aktualisiert. Ab Windows 8 werden die Listen automatisch aktualisiert, Nutzer von Windows Vista, Windows 7, Server 2008 und Server 2008 R2 müssen die Listen manuell aktualisieren, falls sie nicht den automatischen Updater nutzen.

Adobe verliert den Überblick

Adobe hat im Flash Player dermaßen viele Schwachstellen behoben, dass man dabei etwas den Überblick darüber verloren hat, welche Schwachstellen denn nun behoben wurden und welche nicht. Oder wüssten Sie eine andere Erklärung für diese Änderungen:

"December 8, 2015: Removed CVE-2015-8051, CVE-2015-8052 and CVE-2015-8053 (all were previously assigned). Added CVE-2015-8418 (replacement for CVE-2015-8051), CVE-2015-8454 (replacement for CVE-2015-8052) and CVE-2015-8455 (replacement for CVE-2015-8053). Also removed CVE-2015-8054, which was mistakenly included in the original bulletin. "

Zum Glück wird bisher keine der Schwachstellen für Angriffe ausgenutzt. Jedenfalls hat Adobe nichts derartiges verlauten lassen. Ob das stimmt? Warten wir es ab. Vielleicht hat man ja auch dabei den Überblick verloren.

Die Statistik...

... sieht damit für Adobe endlich mal etwas besser aus. Die 17 0-Day-Exploits dieses Jahres, die das Einschleusen von Code erlauben, verteilen sich so auf die Programme:

Adobe und Microsoft haben jetzt also gleich viele bereits vor Veröffentlichung des Patches ausgenutzte Schwachstellen in ihren Produkten. Nur dass Adobe das mit einem einzigen Programm hin bekommt, während Microsoft dafür 2 oder noch mehr benötigt (in Office wird nicht immer die gleiche Komponente Ursache der Schwachstelle sein). Die Wahrscheinlichkeit, dass der Flash Player noch vom Spitzenplatz verdrängt wird, dürfte aber nach wie vor gering sein.

Carsten Eilers