[Warning] Kritische Sicherheitslücke in Microsoft Internet Explorer - Updates verfügbar
Robert Waldner
waldner at cert.at
Wed Aug 19 07:31:18 CEST 2015
19. August 2015
Beschreibung
Microsoft hat ein "out-of-band" Sicherheitsupdate für Internet
Explorer veröffentlicht (MS15-093), mit dem eine als kritisch
bewertete Sicherheitslücke geschlossen wird.
CVE-Nummer: CVE-2015-2502 [1]
CVSS2 Base Score (laut Cisco): 9.3
Details
Um die Lücke auszunutzen, muss vom Benutzer eine entsprechend
präparierte Webseite oder Datei geöffnet werden. Links auf diese
können unter anderem per Spam-Mail verbreitet werden - es ist auch
denkbar, dass Seiten, die es Usern erlauben, eigenen Content zu
erstellen (etwa Blogs), mit entsprechenden Beiträgen präpariert
werden.
Ob ein Ausnutzen über die "Vorschau"-Funktionen von Microsoft
Outlook, Outlook Express und Windows Mail möglich ist, ist im Moment
nicht bekannt.
Auswirkungen
Da der Angreifer nach einem erfolgreichen Angriff prinzipiell
beliebigen Code mit den Rechten des angemeldeten Benutzers auf den
betroffenen Systemen ausführen kann, sind alle Daten auf diesen
Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch
ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen
Systeme gefährdet.
Betroffene Systeme
Nach den aktuell vorliegenden Informationen sind die Versionen 7, 8,
9, 10 und 11 des Internet Explorers auf allen unterstützten
Versionen von Microsoft Windows betroffen.
Achtung - Windows XP
Wir empfehlen Nutzern, die immer noch Windows XP verwenden, ein
Upgrade auf aktuellere Versionen von Microsoft Windows oder andere
Betriebssysteme, und bis dahin zumindest den Einsatz alternativer
Browser (etwa Mozilla Firefox[2], Google Chrome[3], Opera[4]).
Abhilfe
Einspielen des zur Verfügung gestellten Updates.
Wo dies nicht möglich ist, empfehlen wir den Einsatz alternativer
Browser (etwa Mozilla Firefox, Google Chrome, Opera).
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
Die "Click-to-Play"-Funktionen aktueller Web Browser sollten
möglichst für alle Arten von Browser-Plugins verwendet werden.
__________________________________________________________________
Informationsquelle(n):
Microsoft Security Bulletin MS15-093 (englisch)
https://technet.microsoft.com/en-us/library/security/ms15-093.aspx
Cisco Vulnerability Alert (englisch)
http://tools.cisco.com/security/center/viewAlert.x?alertId=40549
References
1. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2502
2. https://www.mozilla.org/en-US/firefox/new/
3. https://www.google.com/chrome/
4. http://www.opera.com/
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150819/e7e62663/attachment.sig>
More information about the Warning
mailing list