[Sec-cert] DFN-CERT-2014-0174 Microsoft Windows: Mehrere Schwachstellen ermöglichen Ausführung belieber Befehle [Windows]

portal at dfn-cert.de portal at dfn-cert.de
Mi Feb 12 13:45:01 CET 2014


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Microsoft Internet Explorer 6
  Microsoft Internet Explorer 7
  Microsoft Internet Explorer 8
  Microsoft Internet Explorer 9
  Microsoft Internet Explorer 10
  Microsoft Internet Explorer 11
  VBScript 5.6
  VBScript 5.7
  VBScript 5.8
  Microsoft MSXML 3.0
  Microsoft Windows 7 Sp1
  Microsoft Windows 7 Sp1 X64
  Microsoft Windows 8
  Microsoft Windows 8 X64
  Microsoft Windows 8.1
  Microsoft Windows 8.1 X64
  Microsoft Windows Server 2003 Sp2
  Microsoft Windows Server 2003 Sp2 Itanium
  Microsoft Windows Server 2003 Sp2 X64
  Windows RT
  Windows RT 8.1
  Microsoft Windows Server 2008 Sp2
  Microsoft Windows Server 2008 Sp2 Itanium
  Microsoft Windows Server 2008 Sp2 X64
  Microsoft Windows Server 2008 R2 Sp1 Itanium
  Microsoft Windows Server 2008 R2 Sp1 X64
  Microsoft Windows Server 2012
  Microsoft Windows Server 2012 R2
  Microsoft Windows Vista Sp2
  Microsoft Windows Vista Sp2 X64
  Microsoft Windows XP Sp2 Professional X64
  Microsoft Windows XP Sp3
  

Betroffene Plattformen:

  Microsoft Windows 7
  Microsoft Windows 8
  Microsoft Windows 8.1
  Microsoft Windows Server 2003
  Windows RT
  Windows RT 8.1
  Microsoft Windows Server 2008
  Microsoft Windows Server 2012
  Microsoft Windows Vista
  Microsoft Windows XP
  


Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen
ausnutzen, um Denial-of-Service-Angriffe durchzuführen oder beliebige
Befehle mit Benutzerrechten zur Ausführung zu bringen. Nicht jede der
genannten Schwachstellen ist in allen gelisteten Produkten enthalten.


Patch:

  Microsoft Sicherheitshinweise MS14-005

  <https://technet.microsoft.com/de-de/security/bulletin/MS14-005>

Patch:

  Microsoft Sicherheitshinweise MS14-006

  <https://technet.microsoft.com/de-de/security/bulletin/MS14-006>

Patch:

  Microsoft Sicherheitshinweise MS14-007

  <https://technet.microsoft.com/de-de/security/bulletin/MS14-007>

Patch:

  Microsoft Sicherheitshinweise MS14-011

  <https://technet.microsoft.com/de-de/security/bulletin/MS14-011>


CVE-2014-0271: Schwachstelle in der VBScript Engine in Microsoft Windows
  ermöglicht Ausführung beliebiger Befehle

  Die VBScript Engine in Microsoft Windows, welche auch im Internet Explorer
  verwendet wird, verwaltet bestimmte Objekte im Speicher nicht fehlerfrei.
  Dies kann zu einer Korruption des Speichers führen. Einem entfernten
  Angreifer ist es somit durch das Bereitstellen einer präparierten Webseite
  möglich, beliebige Befehle mit den Rechten des eingeloggten Benutzers zur
  Ausführung zu bringen. Voraussetzung dafür ist, dass der Benutzer die
  Webseite mit dem Internet Explorer aufruft. 


CVE-2014-0266: Schwachstelle in den Microsoft XML Core Services ermöglicht
  Ausspähen von Informationen

  Im Microsoft Internet Explorer werden Cross-Domain-Policies nicht
  hinreichend erzwungen. Dies ermöglicht einem entfernten Angreifer Dateien
  des lokalen Dateisystems zu lesen und auf Inhalte von Webseiten zuzugreifen,
  auf denen der Benutzer authentifiziert ist. Voraussetzung dafür ist, dass
  der Benutzer eine präparierte Webseite mit dem Internet Explorer aufruft.


CVE-2014-0263: Schwachstelle in Microsoft Windows Direct2D Grafikkomponente
  ermöglicht Ausführung beliebiger Befehle

  Die Implementierung der Direct2D Grafikkomponente in Microsoft Windows
  verarbeitet große zweidimensionale geometrische Figuren fehlerhaft. Einem
  entfernten Angreifer ist es somit durch das Bereitstellen großer
  zweidimensionaler geometrischer Figuren auf einer präparierten Webseite
  möglich, beliebige Befehle mit den Rechten des eingeloggten Benutzers zur
  Ausführung zu bringen. Voraussetzung dafür ist, dass der Benutzer die
  Webseite mit dem Internet Explorer aufruft.


CVE-2014-0254: Schwachstelle in IPv6-Implementierung ermöglicht
  Denial-of-Service

  Die IPv6-Implementierung des TCP/IP-Stacks in Microsoft Windows 8, Windows
  Server 2012 und Windows RT validiert eingehende Netzwerkpakete nicht
  hinreichend. Einem entfernten Angreifer ist es durch das Senden einer großen
  Anzahl an präparierten IPv6 Router Advertisment Paketen an ein Subnetz
  möglich, die Rechner dieses Subnetzes in einen Zustand zu versetzen, in dem
  sie  keine Antwort mehr auf Netzwerkanfragen geben.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2014-0174/>

Schwachstelle CVE-2014-0254 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0254>

Schwachstelle CVE-2014-0266 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0266>

Schwachstelle CVE-2014-0271 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0271>

Schwachstelle CVE-2014-0263 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0263>

Microsoft Sicherheitshinweise MS14-005:
  <https://technet.microsoft.com/de-de/security/bulletin/MS14-005>

Microsoft Sicherheitshinweise MS14-006:
  <https://technet.microsoft.com/de-de/security/bulletin/MS14-006>

Microsoft Sicherheitshinweise MS14-007:
  <https://technet.microsoft.com/de-de/security/bulletin/MS14-007>

Microsoft Sicherheitshinweise MS14-011:
  <https://technet.microsoft.com/de-de/security/bulletin/MS14-011>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20140212/7738a4d8/attachment.p7s>


Mehr Informationen über die Mailingliste Sec-cert