X

Kritische Schwachstelle:
Microsoft legt Update für Edge-Unterbau nach

Microsoft hat nach dem Patchday vom Dienstag noch eine weitere wichtige Aktualisierung herausgegeben. Angesprochen wird dabei eine kritische Sicherheitslücke in ChakraCore, also dem Herzstück der Chakra Javascript-Engine, auf die Microsoft Edge aufbaut.
PC Games
17.09.2017  09:58 Uhr
Dass Microsoft kurz nach dem geplanten Patchday noch weitere Sicherheits-Updates veröffentlicht kommt selten vor. In dieser Woche allerdings ist genau das noch geschehen mit einem weiteren Security-Update, welches eine als kritisch eingestufte Sicherheitslücke im ChakraCore behebt. Microsoft beschreibt das Problem als Sicherheitsanfälligkeit bei der Verfälschung von Skripting-Engine-Speicherkorruption, die dazu führen kann, dass Angreifer die gleichen Rechte erhalten wie der Nutzer. Somit ist eine Übernahme des Systems nicht ausgeschlossen, Remote Codeausführung ist möglich. Für Endverbraucher ist das Update in den Edge-Security-Updates enthalten.
Windows 10: So schaltet man die zahlreichen Daten-Schnüffler ab
videoplayer06:07

Service-Release

Das Update ist dabei besonders wichtig, denn laut Microsofts Einschätzung der Schwachstelle ist die Ausnutzung der Sicherheitslücke für neuere Systeme, gemeint sind alle derzeit supporteten, eher wahrscheinlich. Soweit derzeit bekannt sind ältere Systeme nicht betroffen. Meldungen über Ausnutzungen der Schwachstelle gibt es allerdings nicht. Weitere Details wurden auch bei GitHub veröffentlicht, da Microsoft die Chakra Engine dort als Open Source-Projekt hostet. Für das Projekt wurde das Sicherheitsupdate in das heute (17. September) erschienene Service-Release integriert.


Sicherheitsupdate für ChakraCore
Eine Sicherheitsanfälligkeit bei der Ausführung von Remotecode besteht in der Art, wie die Skript-Engine Objekte im Speicher von Microsoft Edge behandelt. Die Schwachstelle könnte den Arbeitsspeicher so beschädigen, dass ein Angreifer beliebigen Code im Kontext des aktuellen Benutzers ausführen kann. Ein Angreifer, der die Schwachstelle erfolgreich ausgenutzt hat, könnte die gleichen Benutzerrechte wie der aktuelle Benutzer erhalten. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, könnte ein Angreifer die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer kann dann Programme installieren, Daten einsehen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.

In einem webbasierten Angriffsszenario könnte ein Angreifer eine speziell gestaltete Website hosten, die also nur entworfen wurde, um die Sicherheitsanfälligkeit über Microsoft Edge auszunutzen. Der Angreifer könnte auch von kompromittierten Websites und Websites profitieren, die vom Benutzer bereitgestellte Inhalte oder Werbung akzeptieren oder hosten. Diese Websites könnten speziell gestaltete Inhalte enthalten, die die Sicherheitslücke ausnutzen. Das Update behebt die Sicherheitsanfälligkeit, indem es ändert, wie es die Scripting-Engine Objekte im Speicher behandelt.

Weitere Informationen über die Sicherheitslücke finden Sie unter CVE-2017-11767.


Verwandte Themen
Microsoft Edge
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture