Microsoft sikkerhetsoppdateringer for april 2019
Sårbarheter belyst i dette sårbarhetsvarselet
Scripting Engine Memory Corruption
| Exploitability index* (x,y): | 1, 1 |
| Tittel | CVE-2019-0753 |
Internet Explorer inneholder en sårbarhet som har rot i hvordan nettleseren behandler objekter i minnet. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger
til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Internet Explorer, eller bruke et ActiveX-objekt i et Office-dokument. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.
April 2019 Adobe Flash Security Update
| EI(x,y): | 1, 1 |
| Tittel | ADV190011 |
Denne sikkerhetsoppdateringen adresserer CVEene CVE-2019-7096 og CVE-2019-7198. De blir omtalt i Adobe Security Bulletin APSB19-19.
MS XML Remote Code Execution Vulnerability
| EI(x,y): | 1, 1 |
| Tittel | CVE-2019-0793 CVE-2019-0790 CVE-2019-0791 CVE-2019-0792 CVE-2019-0795 |
I Microsoft XML Core Services er det en MSXML-parser som inneholder en sårbarhet som har rot i hvordan XML leser inndata fra brukeren. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside gjennom Internet Explorer, som vil da kjøre angriperens kode. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.
Scripting Engine Memory Corruption
| EI(x,y): | 1, N |
| Tittel | CVE-2019-0739 |
Microsoft Edge inneholder en sårbarhet som har rot i hvordan nettleseren behandler objekter i minnet. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte
sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Microsoft Edge. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.
Chakra Scripting Engine Memory Corruption
| EI(x,y): | 1, N |
| Tittel | CVE-2019-0812 CVE-2019-0829 CVE-2019-0806 CVE-2019-0810 CVE-2019-0861 |
Skriptmotoren ChakraCore inneholder en sårbarhet som har rot i hvordan skriptmotoren behandler objekter i minnet i Microsoft Edge. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at den legger til rette for at en angriper kan kjøre vilkårlig kode i
samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Microsoft Edge. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.
SMB Server Elevation of Privilege
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-0786 |
Microsoft Server Message Block (SMB) Server inneholder en sårbarhet som lar en angriper med gyldige kredentialer eskalere sine rettigheter ved å åpne en spesielt utformet fil over SMB-protokollen på den samme maskinen. Angriperen kan da omgå ulike sikkerhetsmekanismer i operativssystemet. Angriperen må først logge på systemet for å utnytte sårbarheten og deretter kjøre et spesielt utformet program for å ta kontroll på et berørt system. Denne oppdateringen retter på sårbarheten ved å endre hvordan Windows SMB Server behandler slike spesielle programmer.
GDI+ Remote Code Execution Vulnerability
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-0853 |
Windows Graphics Device Interface (GDI) inneholder en sårbarhet som har rot i hvordan GDI behandler objekter i minnet. En angriper kan ved å utnytte sårbarheten blant annet installere programmer, se, endre eller slette data eller opprette nye brukerkontoer med alle brukerrettigheter. Brukerkontoer med begrensninger er ikke like sårbare enn brukere med administrative rettigheter. Angriperen kan utnytte sårbarheten på forskjellige måter: Han/hun må få brukeren til å besøke en spesielt utformet nettside, sende sårbarheten i form av et vedlegg pr. e-post eller ved at angriperen sender en direktemelding til brukeren.
Windows IOleCvt Interface Remote Code
| EI(x,y): | 2, 2 |
| Tittel | CVE-2019-0845 |
IOIeCvt-interfacet i Windows inneholder en sårbarhet som har rot i hvordan interfacet behandler nettsideinnhold i ASP. Sårbarheten kan føre til fjernekservering. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside med Microsofts nettlesere, eller bruke et ActiveX-objekt i et Office-dokument. Angriperen kan også kompromittere nettsider eller reklameinnhold slik at besøkende blir servert innhold som utnytter sårbarheten.
Vi i NorCERT anbefaler alle å oppdatere programvaren på sine systemer til siste versjon.
Se Microsoft [1] og Adobe [2] sine nettsider for flere detaljer.
Om Exploitability Index*
For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index». En «exploitability index» på 1 betyr at Microsoft anser det som lett
å skrive stabil utnyttelseskode for sårbarheten. 0 betyr at utnyttelse er observert, mens N betyr at sårbarheten ikke finnes i den/de versjonen(e) av programvaren. Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er resterende.