Skip to content

Januar-Patchday 2017: 2 unkritische 0-Day-Schwachstellen, keine Exploits

Das Jahr fängt sehr ruhig an: Microsoft hat nur 4 Security Bulletins veröffentlicht, von denen eins auch noch für den in IE und Edge integrierten Flash Player ist. Und die drei übrigen Bulletins enthalten nur jeweils eine CVE-ID. Dahinter verbergen sich in zwei Fällen zwar zuvor schon bekannte Schwachstellen, aber die sind weder kritisch, noch werden sie bereits ausgenutzt.

Adobe hat in seinen zwei Bulletins (für Acrobat und Reader sowie den Flash Player) zwar wieder jede Menge meist kritischer Schwachstellen gemeldet, aber keine davon ist zuvor bekannt gewesen oder ausgenutzt worden.

Privilegieneskalation in Edge

Die erste 0-Day-Schwachstelle ist eine Privilegieneskalation in Edge und wird im Security Bulletin MS17-001 behandelt. Die Schwachstelle mit der CVE-ID CVE-2017-0002 besteht darin, dass Edge beim Aufruf von about:blank die Cross-Domain-Policies nicht korrekt erzwingt. Was einem Angreifer den Zugriff auf Daten einer Domain erlaubt, die er dann in einer anderen einfügen kann. Was ihm das Ausspähen vertraulicher Informationen auf fremden Websites erlaubt.

Außer der CVE-ID und Microsofts Beschreibung ist über diese Schwachstelle bisher nichts bekannt. Microsoft bedankt sich auch bei niemanden für die Meldung der Schwachstelle.

DoS-Schwachstelle im Local Security Authority Subsystem Service

Die zweite 0-Day-Schwachstelle befindet sich im Local Security Authority Subsystem Service (LSASS) und wird im Security Bulletin MS17-004 behandelt. Die Schwachstelle mit der CVE-ID CVE-2017-0004 erlaubt es einem Angreifer über präparierte Authentication-Requests einen DoS des LSASS-Dienstes und dadurch einen automatischen Reboot des Systems auszulösen.

Außer der CVE-ID und Microsofts Beschreibung ist über diese Schwachstelle zumindest bekannt, wer sie entdeckt hat: Microsoft bedankt sich bei Nicolás Economou von Core Security und bei Laurent Gaffie für die Meldung der Schwachstelle. Und verlinkt dabei auf https://www.coresecurity.com/blog/unpatched-lsass-remote-denial-service-ms16-137, aber zumindest zur Zeit bekomme ich da nur eine 403, Access Denied, Fehlermeldung. Auch im Blog von Laurent Gaffie gibt es noch keine Beschreibung dieser Schwachstelle. Aber was solls, so besonders interessant kann die ja eigentlich nicht sein.

Es ist ja schön, dass das Jahr so ruhig anfängt. Hoffen wir mal, dass es noch einige Zeit so ruhig bleibt.

Carsten Eilers

Trackbacks

Keine Trackbacks