[Warning] Kritische Sicherheitslücke in Microsoft Internet Explorer - Updates verfügbar

Robert Waldner waldner at cert.at
Wed Aug 19 07:31:18 CEST 2015


19. August 2015

Beschreibung

   Microsoft hat ein "out-of-band" Sicherheitsupdate für Internet
   Explorer veröffentlicht (MS15-093), mit dem eine als kritisch
   bewertete Sicherheitslücke geschlossen wird.

   CVE-Nummer: CVE-2015-2502 [1]
   CVSS2 Base Score (laut Cisco): 9.3

Details

   Um die Lücke auszunutzen, muss vom Benutzer eine entsprechend
   präparierte Webseite oder Datei geöffnet werden. Links auf diese
   können unter anderem per Spam-Mail verbreitet werden - es ist auch
   denkbar, dass Seiten, die es Usern erlauben, eigenen Content zu
   erstellen (etwa Blogs), mit entsprechenden Beiträgen präpariert
   werden.

   Ob ein Ausnutzen über die "Vorschau"-Funktionen von Microsoft
   Outlook, Outlook Express und Windows Mail möglich ist, ist im Moment
   nicht bekannt.

Auswirkungen

   Da der Angreifer nach einem erfolgreichen Angriff prinzipiell
   beliebigen Code mit den Rechten des angemeldeten Benutzers auf den
   betroffenen Systemen ausführen kann, sind alle Daten auf diesen
   Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch
   ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen
   Systeme gefährdet.

Betroffene Systeme

   Nach den aktuell vorliegenden Informationen sind die Versionen 7, 8,
   9, 10 und 11 des Internet Explorers auf allen unterstützten
   Versionen von Microsoft Windows betroffen.

Achtung - Windows XP

   Wir empfehlen Nutzern, die immer noch Windows XP verwenden, ein
   Upgrade auf aktuellere Versionen von Microsoft Windows oder andere
   Betriebssysteme, und bis dahin zumindest den Einsatz alternativer
   Browser (etwa Mozilla Firefox[2], Google Chrome[3], Opera[4]).

Abhilfe

   Einspielen des zur Verfügung gestellten Updates.

   Wo dies nicht möglich ist, empfehlen wir den Einsatz alternativer
   Browser (etwa Mozilla Firefox, Google Chrome, Opera).

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
   Die "Click-to-Play"-Funktionen aktueller Web Browser sollten
   möglichst für alle Arten von Browser-Plugins verwendet werden.
     __________________________________________________________________

Informationsquelle(n):
   Microsoft Security Bulletin MS15-093 (englisch)
   https://technet.microsoft.com/en-us/library/security/ms15-093.aspx
   Cisco Vulnerability Alert (englisch)
   http://tools.cisco.com/security/center/viewAlert.x?alertId=40549

References

   1. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2502
   2. https://www.mozilla.org/en-US/firefox/new/
   3. https://www.google.com/chrome/
   4. http://www.opera.com/


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg



-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20150819/e7e62663/attachment.sig>


More information about the Warning mailing list