MSI Cashback

Microsoft: 54 Flicken und eine 0-Day-Lücke

reported by doelf, Donnerstag der 15.02.2018, 11:50:56 Uhr

Microsoft hat am Februar-Patch-Day 54 Sicherheitslücken in Windows, Edge nebst ChakraCore, dem Internet Explorer, Office (inklusive der Office Services und Web Apps) und Adobe Flash geschlossen. 14 Schwachstellen wurden dabei als kritisch gekennzeichnet, 38 als wichtig und zwei als moderat. Ein gefährlicher Fehler im Update-Dienst der Messaging-App Skype bleibt uns hingegen erst einmal erhalten.

Skype-Fix ist Microsoft zu aufwändig
Wie Stefan Kanthak auf seclists.org dokumentiert, kann man dem Update-Dienst von Skype (Updater.exe im Skype-Verzeichnis) manipulierte Bibliotheken (.DLL) unterschieben. Hierzu muss ein lokal angemeldeter Benutzer lediglich eine eigene Bibliothek namens UXTheme.dll im Temp-Verzeichnis, wohin sich das zu installierende Update entpackt, platzieren. Eigentlich hätte Microsoft sicherstellen müssen, dass die DLL-Datei nur aus dem Systemverzeichnis von Windows geladen werden darf. Microsoft wurde am 2. September 2017 über die Sicherheitslücke informiert und antwortete am 27. Oktober 2017, dass eine Fehlerbehebung zu aufwändig sei. Stattdessen werde man die notwendigen Änderungen in eine neue Version einfließen lassen, deren Entwicklung derzeit alle Ressourcen binde.

Kritische Angriffspunkte: Outlook und Browser
Wer heutzutage erfahren will, welche Sicherheitslücken Microsoft geschlossen hat, muss bei Talos, den Sicherheitsspezialisten von Cisco Systems vorbeischauen. Microsofts eigener Security Update Guide liefert nämlich auch weiterhin eine völlig unübersichtliche Auflistung und taugt nur zur gezielten Suche nach Informationen über spezielle Updates oder Produkte. Die wichtigsten Einfallstore für Angreifer sind diesmal Outlook und Microsofts Webbrowser.

Besonders riskant ist dabei eine Speichermanipulation in Outlook (CVE-2018-0852), über die Angreifer Schadcode einschleusen und ausführen können. Der Angriff erfolgt über speziell präparierte Dateien, wobei der Benutzer diese nicht einmal öffnen muss - ihre Anzeige in der Vorschau reicht bereits aus! Betroffen sind alle Outlook-Versionen von 2007 bis 2016. Dieses Problem, welches der Microsoft-Mitarbeiter Nicolas Joly entdeckt hat, erstreckt sich zudem auf alle Versionen von Windows inklusive der Server nebst der Core Installationen (CVE-2018-0825). Da StructuredQuery beim Umgang mit Objekten im Speicher patzt, können speziell präparierte Dateien beliebigen Code starten. Und auch hier erfolgt der Angriff bereits beim Erstellen der Vorschau, ohne dass der Benutzer die Datei überhaupt öffnen muss.

Bei Edge kann ein unsauberer Umgang mit Objekten von manipulierten Webseiten zum Abgreifen von Informationen (CVE-2018-0763) genutzt werden. Microsoft hält entsprechende Angriffe für wahrscheinlich und bewertet diesen Fehler ebenfalls als kritisch. Gleiches gilt für zehn Speichermanipulationen in der Scripting Engine von Edge, die sich zum Einschleusen von Schadcode anbieten. Eine dieser Schwachstellen betrifft auch den Internet Explorer der Versionen 10 und 11. Wer mitgezählt hat, kommt auf 13 kritische Sicherheitslücken. Als Nummer 14 führt Microsoft nochmals die Speichermanipulationen in Edge auf, diesmal aber für das Produkt ChakraCore. Dabei handelt es sich um die JavaScript-Engine von Edge, deren Code Microsoft auf GitHub veröffentlicht hat.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]