Kritische Schwachstelle: Microsoft legt Update für Edge-Unterbau nach

Microsoft Patch Day, Windows Logo, Pflaster Bildquelle: PC Games
Microsoft hat nach dem Patchday vom Dienstag noch eine weitere wichtige Aktualisierung herausgegeben. Angesprochen wird dabei eine kritische Sicherheitslücke in ChakraCore, also dem Herzstück der Chakra Javascript-Engine, auf die Microsoft Edge aufbaut. Dass Microsoft kurz nach dem geplanten Patchday noch weitere Sicherheits-Updates veröffentlicht kommt selten vor. In dieser Woche allerdings ist genau das noch geschehen mit einem weiteren Security-Update, welches eine als kritisch eingestufte Sicherheitslücke im ChakraCore behebt. Microsoft beschreibt das Problem als Sicherheitsanfälligkeit bei der Verfälschung von Skripting-Engine-Speicherkorruption, die dazu führen kann, dass Angreifer die gleichen Rechte erhalten wie der Nutzer. Somit ist eine Übernahme des Systems nicht ausgeschlossen, Remote Codeausführung ist möglich. Für Endverbraucher ist das Update in den Edge-Security-Updates enthalten.


Service-Release

Das Update ist dabei besonders wichtig, denn laut Microsofts Einschätzung der Schwachstelle ist die Ausnutzung der Sicherheitslücke für neuere Systeme, gemeint sind alle derzeit supporteten, eher wahrscheinlich. Soweit derzeit bekannt sind ältere Systeme nicht betroffen. Meldungen über Ausnutzungen der Schwachstelle gibt es allerdings nicht. Weitere Details wurden auch bei GitHub veröffentlicht, da Microsoft die Chakra Engine dort als Open Source-Projekt hostet. Für das Projekt wurde das Sicherheitsupdate in das heute (17. September) erschienene Service-Release integriert.


Sicherheitsupdate für ChakraCore
Eine Sicherheitsanfälligkeit bei der Ausführung von Remotecode besteht in der Art, wie die Skript-Engine Objekte im Speicher von Microsoft Edge behandelt. Die Schwachstelle könnte den Arbeitsspeicher so beschädigen, dass ein Angreifer beliebigen Code im Kontext des aktuellen Benutzers ausführen kann. Ein Angreifer, der die Schwachstelle erfolgreich ausgenutzt hat, könnte die gleichen Benutzerrechte wie der aktuelle Benutzer erhalten. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, könnte ein Angreifer die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer kann dann Programme installieren, Daten einsehen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.

In einem webbasierten Angriffsszenario könnte ein Angreifer eine speziell gestaltete Website hosten, die also nur entworfen wurde, um die Sicherheitsanfälligkeit über Microsoft Edge auszunutzen. Der Angreifer könnte auch von kompromittierten Websites und Websites profitieren, die vom Benutzer bereitgestellte Inhalte oder Werbung akzeptieren oder hosten. Diese Websites könnten speziell gestaltete Inhalte enthalten, die die Sicherheitslücke ausnutzen. Das Update behebt die Sicherheitsanfälligkeit, indem es ändert, wie es die Scripting-Engine Objekte im Speicher behandelt.

Weitere Informationen über die Sicherheitslücke finden Sie unter CVE-2017-11767.


Patchday: Windows 10 Sicherheits-Updates für alle Versionen sind da Patch-Day, Microsoft Patch Day, Windows Logo, Pflaster Patch-Day, Microsoft Patch Day, Windows Logo, Pflaster PC Games
Diese Nachricht empfehlen
Kommentieren7
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Tipp einsenden