Service-Release
Das Update ist dabei besonders wichtig, denn laut Microsofts Einschätzung der Schwachstelle ist die Ausnutzung der Sicherheitslücke für neuere Systeme, gemeint sind alle derzeit supporteten, eher wahrscheinlich. Soweit derzeit bekannt sind ältere Systeme nicht betroffen. Meldungen über Ausnutzungen der Schwachstelle gibt es allerdings nicht. Weitere Details wurden auch bei GitHub veröffentlicht, da Microsoft die Chakra Engine dort als Open Source-Projekt hostet. Für das Projekt wurde das Sicherheitsupdate in das heute (17. September) erschienene Service-Release integriert.Sicherheitsupdate für ChakraCore
Eine Sicherheitsanfälligkeit bei der Ausführung von Remotecode besteht in der Art, wie die Skript-Engine Objekte im Speicher von Microsoft Edge behandelt. Die Schwachstelle könnte den Arbeitsspeicher so beschädigen, dass ein Angreifer beliebigen Code im Kontext des aktuellen Benutzers ausführen kann. Ein Angreifer, der die Schwachstelle erfolgreich ausgenutzt hat, könnte die gleichen Benutzerrechte wie der aktuelle Benutzer erhalten. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, könnte ein Angreifer die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer kann dann Programme installieren, Daten einsehen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.
In einem webbasierten Angriffsszenario könnte ein Angreifer eine speziell gestaltete Website hosten, die also nur entworfen wurde, um die Sicherheitsanfälligkeit über Microsoft Edge auszunutzen. Der Angreifer könnte auch von kompromittierten Websites und Websites profitieren, die vom Benutzer bereitgestellte Inhalte oder Werbung akzeptieren oder hosten. Diese Websites könnten speziell gestaltete Inhalte enthalten, die die Sicherheitslücke ausnutzen. Das Update behebt die Sicherheitsanfälligkeit, indem es ändert, wie es die Scripting-Engine Objekte im Speicher behandelt.
Weitere Informationen über die Sicherheitslücke finden Sie unter CVE-2017-11767.