[Microsoft/IE] Kritische Schwachstelle im Internet Explorer
(2020-01-20 16:58:00.462042+00)
Quelle:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200001Eine z.T. als kritisch eingestufte Schwachstelle in den Routinen zur Verarbeitung aktiver Inhalte des Internet Exporers kann von einem Angreifer dazu ausgenutzt werden, beliebigen JavaScript-Code im Benutzerkontext des browsenden Benutzers auszuführen. Sofern der Benutzer administrative Privilegien besitzt, kann dies zur unmittelbaren Kompromittierung des beherbergenden Systems führen. Es ist bislang kein Patch verfügbar, der das Problem behebt. Aus diesem Grund wird Benutzern, insbesondere Benutzern mit administrativen Privilegien dringend von der Nutzung des Internet Explorers abgeraten.
Inhalt
Zusammenfassung
- CVE-2020-0674:
Betroffen: Internet Explorer 9, 10, 11 Plattform: Microsoft Windows: Server 2012, 10, Server 2016, 7, 8.1, RT 8.1, Server 2008, Server 2012 Einfallstor: JavaScript Angriffsvoraussetzung: Benutzerinteraktion: Betrachten einer entsprechenden Seite im IE Angriffsvektorklasse: remote Auswirkung: Benutzer- bzw. Systemkomopromittierung Typ: Speicherverletzung Gefahrenpotential: hoch bis sehr hoch Workaround: ja Gegenmaßnahmen: bislang nicht Vulnerability ID: CVE-2020-0674
Betroffene Systeme
Plattform
- Windows 10 Version 1803 für 32-bit Systeme
- Windows 10 Version 1803 für x64-basierte Systeme
- Windows 10 Version 1803 für ARM64-basierte Systeme
- Windows 10 Version 1809 für 32-bit Systeme
- Windows 10 Version 1809 für x64-basierte Systeme
- Windows 10 Version 1809 für ARM64-basierte Systeme
- Windows 10 Version 1909 für 32-bit Systeme
- Windows 10 Version 1909 für x64-basierte Systeme
- Windows 10 Version 1909 für ARM64-basierte Systeme
- Windows 10 Version 1709 für 32-bit Systeme
- Windows 10 Version 1709 für x64-basierte Systeme
- Windows 10 Version 1709 für ARM64-basierte Systeme
- Windows 10 Version 1903 für 32-bit Systeme
- Windows 10 Version 1903 für x64-basierte Systeme
- Windows 10 Version 1903 für ARM64-basierte Systeme
- Windows 10 für 32-bit Systeme
- Windows 10 für x64-basierte Systeme
- Windows 10 Version 1607 für 32-bit Systeme
- Windows 10 Version 1607 für x64-basierte Systeme
- Windows 8.1 für 32-bit systems
- Windows 8.1 für x64-basierte systems
- Windows RT 8.1
- Windows 7 für 32-bit Systeme Service Pack 1
- Windows 7 für x64-basierte Systeme Service Pack 1
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
- Windows Server 2008 für 32-bit Systeme Service Pack 2
- Windows Server 2008 für x64-basierte Systeme Service Pack 2
Workaround
- Umstieg auf einen anderen Browser
- Um die Ausnutzung der Schwachstelle zu verhindern, kann die Scripting Engine abgeschaltet werden. Information zu den dazu notwendigen Schritten findet sich hier:
- Für deutsche Windows-Versionen lesen sie bitte den Abschnitt "Workaround: die Scripting-Engine deaktiveren" des Artikels Internet Explorer: Zero-Day-Schwachstelle in JScript Scripting Engine auf heise-Online.
- Für anglophone Windows-Versionen lesen Sie bitte den Abschnitt "Workarounds" des Microsoft-Advisories ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability.
Gegenmaßnahmen
- Installation eines Patches, sobald dieser verfügbar ist
Vulnerability ID
Weitere Information zu diesem Thema
- heise-Online: Internet Explorer: Zero-Day-Schwachstelle in JScript Scripting Engine
- Microsoft: ADV200001 | Microsoft Guidance on Scripting Engine Memory Corruption Vulnerability
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1762