Kurzinfo CB-K15/1656 Update 1

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Microsoft .NET Framework: Mehrere Schwachstellen ermöglichen u.a. Cross-Site-Scripting-Angriffe
Datum: 11.02.2016
Software: Microsoft .NET Framework 2.0 Sp2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4.0, Microsoft .NET Framework 4.5, Microsoft .NET Framework 4.5.1, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6
Plattform: Microsoft Windows 7 Sp1 X64, Microsoft Windows 7 Sp1 X86, Microsoft Windows 8 X64, Microsoft Windows 8 X86, Microsoft Windows 8.1 X64, Microsoft Windows 8.1 X86, Microsoft Windows 10 X64, Microsoft Windows 10 X86, Microsoft Windows RT, Microsoft Windows RT 8.1, Microsoft Windows Server 2008 Sp2 Itanium, Microsoft Windows Server 2008 Sp2 X64, Microsoft Windows Server 2008 Sp2 X86, Microsoft Windows Server 2008 R2 Server Core Installation SP1 64-Bit, Microsoft Windows Server 2008 R2 Sp1 Itanium, Microsoft Windows Server 2008 R2 Sp1 X64, Microsoft Windows Server 2012, Microsoft Windows Server 2012 Server Core Installation, Microsoft Windows Server 2012 R2, Microsoft Windows Server 2012 R2 Server Core Installation, Microsoft Windows Vista Sp2, Microsoft Windows Vista Sp2 X64
Auswirkung: Cross-Site-Scripting
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2015-6096, CVE-2015-6099, CVE-2015-6115
Bezug: Microsoft Sicherheitshinweise MS15-118 (.NET)
Beschreibung

.NET (dot Net) ist eine Software-Plattform von Microsoft zur Entwicklung und Ausführung von Anwendungsprogrammen. Das Framework besteht aus einer Laufzeitumgebung, in der die Programme ausgeführt werden, einer Sammlung von Klassenbibliotheken, Programmierschnittstellen und Dienstprogrammen.

Mehrere Schwachstellen im Microsoft .NET Framework führen zu einer fehlerhaften Behandlung von XML External Entities (XXE), von Werten in HTTP-Anforderungen durch ASP.NET und zu einer möglichen zur Deaktivierung der Address Space Layout Randomization (ASLR). Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstellen ausnutzen, z.B. mittels präparierter Webseiten, um Informationen auszuspähen, beliebigen Programmcode zur Ausführung zu bringen oder Sicherheitsbeschränkungen zu umgehen, wodurch das Ausführen von Programmcode erleichtert wird. Auch administrative Rechte können in einem weiteren Schritt unter Umständen erlangt werden. Update: Microsoft aktualisiert den Sicherheitshinweis MS15-118 in der englischen Version, da es bei der Installation des Updates 3098785 (betrifft CVE-2015-6099) zu Komplikationen kommt, wenn Benutzer das .NET Framework 4.6 auf Systemen installieren, auf denen bereits eine vollständig aktualisierte Version des .NET Frameworks 4.5.x läuft. Dies betrifft die Betriebssysteme Windows 8.1, Windows RT und Windows Server 2012 R2. Microsoft stellt eine aktualisierte Version des Updates 3098785 bereit.

  1. Microsoft Sicherheitshinweise MS15-118 (.NET)

  2. Schwachstelle CVE-2015-6096 (NVD)

  3. Schwachstelle CVE-2015-6099 (NVD)

  4. Schwachstelle CVE-2015-6115 (NVD)

  5. Microsoft Security Bulletin MS15-118 (.NET, englisch)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.