📚 Microsoft Internet Explorer 8/9/10/11 VBScript/JScript Pufferüberlauf
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 80209
Betroffen: Microsoft Internet Explorer 8/9/10/11
Veröffentlicht: 12.01.2016
Risiko: kritisch
Erstellt: 14.01.2016
Eintrag: 74.9% komplett
Beschreibung
In Microsoft Internet Explorer 8/9/10/11, ein Webbrowser, wurde eine kritische Schwachstelle entdeckt. Hierbei betrifft es eine unbekannte Funktion der Komponente VBScript/JScript. Durch Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 12.01.2016 als MS16-003 in Form eines bestätigten Bulletins (Technet) öffentlich gemacht. Bereitgestellt wird das Advisory unter technet.microsoft.com. Die Verwundbarkeit wird seit dem 04.12.2015 als CVE-2016-0002 geführt. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Die Schwachstelle lässt sich durch das Einspielen des Patches MS16-003 lösen. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort gehandelt. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1034650) dokumentiert.CVSS
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]
CPE
- cpe:/a:microsoft:internet_explorer:8
- cpe:/a:microsoft:internet_explorer:9
- cpe:/a:microsoft:internet_explorer:10
- cpe:/a:microsoft:internet_explorer:11
Exploiting
Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $50k-$100k (0-day) / $25k-$50k (Heute)
Gegenmassnahmen
Empfehlung: Patch
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Patch: MS16-003
Timeline
04.12.2015 | CVE zugewiesen
12.01.2016 | Advisory veröffentlicht
12.01.2016 | Gegenmassnahme veröffentlicht
12.01.2016 | SecurityTracker Eintrag erstellt
14.01.2016 | VulDB Eintrag erstellt
14.01.2016 | VulDB Eintrag aktualisiert
Quellen
Advisory: MS16-003
Status: Bestätigt
CVE: CVE-2016-0002 (mitre.org) (nvd.nist.org) (cvedetails.com)
SecurityTracker: 1034650 – Windows JScript/VBScript Engine Flaw Lets Remote Users Execute Arbitrary Code
...