Hoax-Info Service | Weblog | Archiv

24.09.2021PermaLink
Neue 0-Day-Lücke in Chrome

Google stopft 0-Day-Lücke mit Chrome-Update

Google hat mit einem Update auf Chrome 94.0.4606.61 eine gravierende Sicherheitslücke in seinem Browser geschlossen. Clément Lecigne aus Googles Threat Analysis Group (TAG) hat die Schwachstelle CVE-2021-37973 entdeckt. Es handelt sich um eine Use-after-free-Lücke in der Portals API (Programmierschnittstelle), die Google als hohes Risiko ausweist. Laut Srinivas Sista im Chrome Release Blog ist zudem Exploit-Code für diese Schwachstelle im Umlauf. Ob es tatsächlich bereits Angriffe auf Web-Nutzer gibt, bei denen die Lücke ausgenutzt wird, lässt Google einmal mehr offen. Dafür, dass es Angriffe gibt, spricht die recht hastige Bereitstellung eines Updates, um die Lücke zu stopfen. Ein Blog-Eintrag, wie er normalerweise ein solches Update begleitet, ist erst am Tag darauf veröffentlicht worden.
Die anfällige Portals API steckt in der quelloffenen Browser-Basis Chromium, dürfte also auch andere Chromium-basierte Browser wie Brave, Microsoft Edge, Opera und Vivaldi betreffen.

Update: Microsoft hat für seinen Browser Edge, der auf Chromium basiert, ein Update auf die Version 94.0.992.31 bereitgestellt, um dieselbe Schwachstelle zu beseitigen.

↗Chrome Release Blog  ||  →neueste Sicherheits-Updates

14.09.2021PermaLink
Microsoft stopft 0-Day-Lücke in Windows

Patch Day mit Updates gegen 66 Schwachstellen

Mit dem heutigen Update-Dienstag hat Microsoft im September, je nach Zählweise, bis zu 66 Sicherheitslücken geschlossen. Drei dieser Schwachstellen stuft Microsoft als kritisch ein. Diese betreffen Windows sowie das Open-Source-Projekt Open Management Infrastructure. Eine weitere Lücke (CVE-2021-40444) wird bereits für Angriffe genutzt, die 0-Day-Lücke steckt in der MSHTML-Komponente. Für Windows-Versionen vor 10 wird sie mit einem kumulativen Sicherheits-Update für Internet Explorer 11 behoben. Mittels ActiveX kann mit präparierten Office-Dokumenten beliebiger Code eingeschleust und mit Benutzerrechten ausgeführt werden. Diese Lücke stuft Microsoft als hohes Risiko ein, nicht als kritisch. Bereits vorab öffentlich bekannt war die Schwachstelle CVE-2021-36968 im DNS-Dienst von Windows 7 sowie Server 2008 und 2008 R2. Installierbare Updates gegen diese Lücke erhalten nur Teilnehmer am kostenpflichtigen ESU-Programm. Die als kritisch ausgewiesenen Windows-Lücken betreffen die Scripting Engine (CVE-2021-26435) sowie den WLAN AutoConfig-Dienst (CVE-2021-36965).
In seinen Office-Produkten hat Microsoft 12 Schwachstellen beseitigt. Keine dieser Lücken gilt als kritisch, jedoch können neun dieser Schwachstellen mit präparierten Dateien ausgenutzt werden, um Code einzuschleusen und mit Benutzerrechten auszuführen. Das aktuelle Update für Edge (Chromium) auf Version 93.0.961.47 soll zwar eine 0-Day-Lücke in Chromium (CVE-2021-30632) beheben, jedoch basiert diese Edge-Version ansonsten offenbar noch auf Chromium 93.0.4577.63. Mehrere Sicherheitslücken, die Google mit dem Update auf Chrome 93.0.4577.82 vom 13. September geschlossen hat, dürften somit noch in der aktuellen Edge-Version stecken.

Microsoft Leitfaden für Sicherheitsupdates / | ZDI Blog
→Microsoft Download- und Info-Links | →neueste Sicherheits-Updates