Microsoft sikkerhetsoppdateringer for februar 2019
Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer [1]. Denne måneden er det mange kritiske sårbarheter. Berørt programvare er nettleserne Microsoft Edge og Internet Explorer, DHCP serveren til Microsoft, Microsoft Sharepoint og grafikkbiblioteket Windows GDI+.
Sårbarheter belyst i dette sårbarhetsvarselet:
February 2019 Adobe Flash Security Update
| Exploitability Index* - EI(x,y): | 1, 1 |
| Referanse | ADV190003 |
Denne sikkerhetsoppdateringen retter følgende sårbarhet, som er beskrevet i Adobe Security Bulletin APSB19-08: CVE-2019-7090.
Scripting Engine Memory Corruption
| EI(x,y): | 1, N |
| CVE-referanser | CVE-2019-0607 CVE-2019-0642 CVE-2019-0644 CVE-2019-0651 CVE-2019-0655 CVE-2019-0591 CVE-2019-0593 CVE-2019-0605 |
Microsoft Edge har en sårbarhet som tillater fjernkjøring av vilkårlig kode, noe som skal skyldes inkorrekt håndtering av objekter i minnet. En angriper som utnytter sårbarheten kan tilegne seg samme rettigheter som den aktive brukeren. Dersom brukeren har administrative rettigheter, kan angriper ta kontroll over et påvirket system. For å utnytte sårbarheten kan en angriper overtale en bruker til å besøke en spesielt utformet nettside med Microsoft Edge. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. Oppdateringen adresserer sårbarheten ved å endre hvordan Microsoft Edge håndterer objekter i minnet.
Microsoft Edge Memory Corruption
| EI(x,y): | 1, N |
| CVE-referanser | CVE-2019-0645 CVE-2019-0650 CVE-2019-0634 |
Microsoft Edge har en sårbarhet som tillater fjernkjøring av vilkårlig kode, noe som skal skyldes inkorrekt håndtering av objekter i minnet. En angriper som utnytter sårbarheten kan tilegne seg samme rettigheter som den aktive brukeren. Dersom brukeren har administrative rettigheter, kan angriper ta kontroll over et påvirket system. For å utnytte sårbarheten kan en angriper overtale en bruker til å besøke en spesielt utformet nettside med Microsoft Edge. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. Oppdateringen adresserer sårbarheten ved å endre hvordan Microsoft Edge håndterer objekter i minnet.
Internet Explorer Memory Corruption
| EI(x,y): | 1, N |
| CVE-2019-0606 |
Internet Explorer inneholder en sårbarhet i hvordan Internet Explorer henter objekter i minnet. En angriper kan utnytte sårbarheten ved å modifisere minnet slik at han/hun får samme tilgang som den påloggede brukeren. Dersom denne brukeren har administrative rettigheter kan dermed angriperen få full tilgang til systemet. For at angriperen skal lykkes med å utnytte sårbarheten må han/hun få brukeren til å besøke en spesielt utformet nettside gjennom Internet Explorer. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren.
Windows DHCP Server Remote Code Execution
| EI(x,y): | 2, 2 |
| CVE-referanse | CVE-2019-0626 |
Det finnes en sårbarhet i Windows DHCP tjenesten. Den kan utnyttes gjennom å sende skreddersydde pakker til DHCP serveren. En angriper som utnytter sårbarheten kan kjøre vilkårlig kode på DHCP serveren. Sikkerhetsoppdateringen korrigerer hvordan Windows DHCP tjenesten håndterer nettverkspakker.
Microsoft SharePoint Remote Code Execution
| EI(x,y): | 2, 2 |
| CVE-referanse | CVE-2019-0594 CVE-2019-0604 |
Microsoft SharePoint har en sårbarhet som tillater fjernkjøring av vilkårlig kode, noe som skal skyldes manglende inputsjekking av markeringsspråket til en applikasjonspakke. En angriper som utnytter sårbarheten kan tilegne seg samme rettigheter som Sharepoint applikasjonen. For å utnytte sårbarheten må man laste opp en skredderskydd SharePoint applikasjonspakke til en SharePoint instans som er berørt av sårbarheten. Denne oppdateringen adresserer sårbarheten ved å endre hvordan Microsoft Edge håndterer markeringsspråket til en applikasjonspakke.
GDI+ Remote Code Execution Vulnerability
| EI(x,y): | 2, 2 |
| CVE-referanse | CVE-2019-0662 CVE-2019-0618 |
Windows GDI+ har en sårbarhet som tillater fjernkjøring av vilkårlig kode, noe som skal skyldes inkorrekt håndtering av objekter i minnet. En angriper som utnytter sårbarheten kan tilegne seg samme rettigheter som den aktive brukeren. Dersom brukeren har administrative rettigheter, kan angriper ta kontroll over et påvirket system. Det finnes flere måter å utnytte sårbarheten. I et web-basert angrepsscenario kan en angriper opprette en webside som er myntet på å utnytte sårbarheten og dermed be brukerne besøke nettsiden. I et fil-basert angrepsscenario kan en angriper sende en skredersydd fil som er myntet på å utnytte sårbarheten og dermed overbevise brukeren om å åpne filen. Oppdateringen adresserer sårbarheten ved å endre hvordan Windows GDI+ håndterer objekter i minnet.
Se Microsoft [1] og Adobe [2] sine nettsider for flere detaljer.
Vi i NorCERT anbefaler alle å oppdatere programvaren på sine systemer til siste versjon.
Referanser:
Om Exploitability Index*
For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index». En «exploitability index» på 1 betyr at Microsoft anser det som lett
å skrive stabil utnyttelseskode for sårbarheten. 0 betyr at utnyttelse er observert, mens N betyr at sårbarheten ikke finnes i den/de versjonen(e) av programvaren. Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er resterende.