Microsoft sikkerhetsoppdateringer for oktober 2018

Publisert: 11.10.2018

Det er totalt 52 bulletiner, hvor 12 er vurdert som kritiske.

 Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer [1]. Flere av sårbarhetene som adresseres i denne månedens oppdatering kan utnyttes av en angriper til å ta kontroll over brukere og systemer.

De 12 kritiske sårbarhetene påvirker blant annet Microsoft Edge, Internet Explorer og Windows Hyper-V.

Aktiv utnyttelse av en mindre kritisk sårbarhet

Microsoft har i tillegg observert aktiv utnyttelse av en mindre kritisk sårbarhet, CVE-2018-8453. Dette er en sårbarhet i Win32k som tillater privilegieeskalering, og skal skyldes inkorrekt håndtering av objekter i minnet. Sårbarheten skal kreve at en angriper først logger på systemet. Vi i NorCERT er så langt ikke kjent med aktiv utnyttelse i Norge.

Adobe har også offentliggjort oppdateringer [2] for noen av sine produkter, deriblant Adobe Flash Player. Adobe vurderer disse til laveste prioritet.

Sårbarheter belyst i dette sårbarhetsvarselet

Chakra Scripting Engine Memory Corruption

CVE-referanser Exploitability Index* (EI) (x,y)
CVE-2018-8505
CVE-2018-8510
CVE-2018-8511
CVE-2018-8513
1,N

Skriptmotoren Chakra inneholder en sårbarhet som skyldes måten skriptmotoren behandler objekter i minnet i Microsoft Edge. Sårbarheten, som kan føre til fjernekservering, utnyttes ved å endre minnet på en slik måte at det legges til rette for at en angriper kan kjøre vilkårlig kode i samme kontekst og oppnå samme brukerrettigheter som den påloggede brukeren. Hvis den påloggede brukeren er logget inn som administrator, kan angriperen ta kontroll over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må angriper få brukeren til å besøke en spesielt utformet nettside med Microsoft Edge. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. Oppdateringen adresserer sårbarheten ved å ender hvordan skriptmotoren Chakra håndterer objekter i minnet.

Microsoft Edge Memory Corruption

CVE-referanser EI (x,y)
CVE-2018-8473
CVE-2018-8509
1, N

Microsoft Edge har en sårbarhet som tillater fjernkjøring av vilkårlig kode, noe som skal skyldes inkorrekt håndtering av objekter i minnet. En angriper som utnytter sårbarheten kan tilegne seg samme rettigheter som den aktive brukeren. Dersom brukeren har administrative rettigheter, kan angriper ta kontroll over et påvirket system. For å utnytte sårbarheten kan en angriper overtale en bruker til å besøke en spesielt utformet nettside med Microsoft Edge. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. Oppdateringen adresserer sårbarheten ved å endre hvordan Microsoft Edge håndterer objekter i minnet.

Scripting Engine Memory Corruption

CVE-referanse EI (x, y)

CVE-2018-8500
1, N

Skriptmotoren ChakraCore inneholder en sårbarhet som har skyldes måten skriptmotoren behandler objekter i minnet. En angriper kan utnytte sårbarheten ved å modifisere minnet slik at angriper får samme tilgang som den påloggede brukeren. Dersom denne brukeren har administrative rettigheter, kan angriperen ta over systemet. For at angriperen skal lykkes med å utnytte sårbarheten må angriper overtale brukeren til å besøke en spesielt utformet nettside gjennom en av Microsofts nettlesere. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. Oppdateringen adresserer sårbarheten ved å endre hvordan skriptmotoren ChakraCore håndterer objekter i minnet.

Internet Explorer Memory Corruption

CVE-referanse EI (y, x)
CVE-2018-8460
CVE-2018-8491
1, N

Internet Explorer inneholder en sårbarhet som skyldes hvordan nettleseren henter objekter i minnet. En angriper kan utnytte sårbarheten ved å modifisere minnet slik at angriper får samme tilgang som den påloggede brukeren. Dersom denne brukeren har administrative rettigheter, kan angriperen ta over systemet. For at angriperen skal lykkes med å utnytte sårbarheten, må angriper få brukeren til å besøke en spesielt utformet nettside gjennom Internet Explorer. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. Oppdateringen adresserer sårbarheten ved å endre hvordan Internet Explorer håndterer objekter i minnet.

Windows Hyper-V Remote Code Execution

CVE-referanse EI (y, x)
CVE-2018-8489
CVE-2018-8490
2, 2

Windows Hyper-V inneholder en sårbarhet som kan føre til fjernekservering på grunn av uriktig validering av inndata fra en autentisert bruker på et gjesteoperativsystem. For å utnytte sårbarheten kan en angriper kjøre en spesielt utformet applikasjon på gjesteoperativsystemet, noe som kan føre til at Hyper-V-serveren kjører vilkårlig kode. Sikkerhetsoppdateringen adresserer sårbarheten ved å rette opp i hvordan Hyper-V validerer gjesteoperativsystemets inndata fra brukeren.

MS XML Remote Code Execution Vulnerability

CVE-referanse EI (y, x)
CVE-2018-8494 2, 2

Microsoft XML Core Services har en MSXML-parser som inneholder en sårbarhet, som skyldes hvordan den leser inndata fra brukeren. For at angriperen skal lykkes med å utnytte sårbarheten må angriper få brukeren til å besøke en spesielt utformet nettside gjennom Internet Explorer, som vil da kjøre angriperens kode. Dette kan for eksempel gjøres ved at angriperen sender en e-post eller en direktemelding til brukeren. Oppdateringen adresserer sårbarheten ved å korrigere hvordan MSXML-parseren prosesserer inndata fra brukeren.

Se Microsoft [1] og Adobe [2] sine nettsider for flere detaljer.

Vi i NorCERT anbefaler alle å oppdatere programvaren på sine systemer til siste versjon.

Referanser:

  1. https://portal.msrc.microsoft.com/en-us/security-guidance
  2. https://helpx.adobe.com/security.html

*Om Exploitability Index

For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for at den skal kunne utnyttes. Dette kaller de «exploitability index». En «exploitability index» på 1 betyr at Microsoft anser det som lett å skrive stabil utnyttelseskode for sårbarheten. 0 betyr at utnyttelse er observert, mens N betyr at sårbarheten ikke finnes i den/de versjonen(e) av programvaren. Det gis én verdi for den nyeste versjonen av det aktuelle produktet, og én verdi for de andre støttede versjonene. Vi markerer sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er resterende.