[English]ACROS Security hat einen Micropatch für die SchwachstelleC VE-2020-1062 (Internet Explorer scripting engine memory corruption ) für Windows 7 und Server 2008 R2 (ohne ESU-Lizenz) veröffentlicht. Das ist neben CVE-2020-1380 bereits der zweite Micropatch für die Internet Explorer Scripting Engine.
Die Sicherheitsanfälligkeit CVE-2020-1062
CVE-2020-1062 wurde für eine Scripting Engine Memory Corruption-Schwachstelle im Internet Explorer vergeben. Die Schwachstelle kann den Arbeitsspeicher so beschädigen, dass ein Angreifer im Kontext des aktuellen Benutzers beliebigen Code ausführen kann. Microsoft schreibt dazu:
Es besteht eine Sicherheitsanfälligkeit bei der Remotecodeausführung, wennder Internet Explorer unsachgemäß auf Objekte im Speicher zugreift. Die Sicherheitsanfälligkeit könnte den Speicher so beschädigen, dass ein Angreifer beliebigen Code im Kontext des aktuellen Benutzers ausführen könnte. Ein Angreifer, der dies erfolgreich ausnutzt, könnte die gleichen Benutzerrechte wie der aktuelle Benutzer erhalten. Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, könnte der Angreifer die Kontrolle über ein betroffenes System übernehmen, Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.
Ein Angreifer könnte eine speziell gestaltete Website hosten, um die Sicherheitsanfälligkeit über Internet Explorer auszunutzen, und dann einen Benutzer davon überzeugen, die Website anzuzeigen. Der Angreifer könnte sich auch kompromittierte Websites oder Websites, die vom Benutzer bereitgestellte Inhalte oder Werbung akzeptieren oder hosten, zunutze machen, indem er speziell gestaltete Inhalte hinzufügt, die die Sicherheitsanfälligkeit ausnutzen könnten. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, einen Benutzer zum Anzeigen der vom Angreifer kontrollierten Inhalte zu zwingen. Stattdessen müsste ein Angreifer einen Benutzer zum Handeln bewegen, typischerweise durch eine Verlockung in einer E-Mail oder Sofortnachricht oder indem er den Benutzer dazu bringt, einen per E-Mail versandten Anhang zu öffnen.
Microsoft hatte am 12. Mai 2020 ein Sicherheitsupdate für den Internet Explorer 11 freigegeben, das die Schwachstelle in der Skript-Engine schließt. Der Fix ist im Rollup Update für Windows 7 SP1 enthalten. Benutzer von Windows 7 SP1 und Windows Server 2008 R2, die nicht über eine ESU-Lizenz verfügen, erhalten jedoch die von Microsoft veröffentlichten Sicherheitsupdates nicht mehr.
0patch-Fix für Windows 7 SP1/Server 2008 R2
ACROS Security hat einen Micropatch für die Schwachstelle CVE-2020-1062 entwickelt. Ich bin über Twitter auf die Information zur Freigabe des Micropatches für Windows 7 SP1 und Windows Server 2008 R2 aufmerksam geworden. Im Verlauf dieser Tweets finden sich weitere Informationen.
(0patch Fix für CVE-2020-1062 )
Dieser Micropatch ist für 0patch-Benutzer mit PRO-Lizenz ab sofort verfügbar und wird bereits auf alle Online-Computer mit 0patch Agent angewendet (außer in nicht standardmäßigen Enterprise-Konfigurationen). Wie immer ist kein Neustart des Computers erforderlich und die Arbeit der Benutzer wird nicht unterbrochen.
Die Analyse des Bugs findet sich im Accenture-Blog. Ein Video zur Funktionsweise des Patches gibt es hier. Hinweise zur Funktionsweise des 0patch-Agenten, der die Mikro-Patches zur Laufzeit einer Anwendung in den Speicher lädt, finden Sie in den Blog-Posts (z.B. hier), die ich unten verlinkt habe.
Ähnliche Artikel:
Windows 7: Februar 2020-Sicherheitsupdates erzwingen – Teil 1
Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
0patch fixt CVE-2020-0687 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1015 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1281 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1337 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1530 in Windows 7/Server 2008 R2
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
Ich lasse meine Windows7-Installationen einfach auf dem letzten Stand, der für Normalnutzer zugänglich war, also erst mal ohne ESU. Wenn überhaupt, habe ich vor, in zwei Jahren mal so ein endgültiges ESU-Gesmtpaket über BypassESU oder ein ähnliches Tool draufzuhauen. So ein Windows 7 Final wird eine geniale Sache werden.
Riskant? Meinetwegen, aber wenn man sich anschaut, wieviele mässig bedrohliche Sicherheitslücken jeden Monat neu in Windows7 gefunden werden, dann scheint es da einen unendlichen Pool an Lücken zu geben. Da kann man sein Windows gleich lassen, wie es ist, und wenn es eine wirklich gefährliche Lücke geben wird, wird MS wahrscheinlich für alle Windows7 einen Fix raushauen, wie sie es ein-, zweimal bei WindowsXP getan haben.
Aber was mir momentan wirklich Sorgen macht, ich sehe immer mehr unglaublich aggressives Javascript im Browser, hauptsächlich Firefox, und das auch (eher vor allem) auf seriösen Seiten wie youtube oder facebook. Das JS läuft noch stundenlang im Hintergund weiter, teilweise auch wenn der zugehörige Tab schon längst geschlossen wurde. Das JS-Gedöns hat mittlerweile mehr mit Malware wie mit Information zu tun. Ich kann z.B. meinen Firefox durch das Öffnen von 20-30 youtube-Seiten problemlos in die Knie zwingen, ohne Abspielen von Videos, einfach nur durch das Öffnen der Seiten. Dabei sollte JS eigentlich nur dazu dienen, Bilder und Videos dynamisch anzuzeigen, aber das ganze JS-Gedöns entwickelt sich langsam in so eine Richtung verteilter Mega-KI-Virus.
was für ein gequirtlter Schwachsinn!
allein schon für den teilsatz „und das auch auf seriösen Seiten wie youtube oder facebook“
hört man sofort auf zu lesen. fratzebuk war nie, wird nie, wollte noch nie seriös sein. Nicht mal ansatzweise. Aber die Schafe machen, claro, mit – freiwillig. Wen wunderts…
Komm mal wieder runter. Ich meinte seriös im Vergleich zu sagen wir mal sehr fragwürdigen Seiten, wo man von vorneherein mit Malware rechnen muss.
Aber was ich mich frage, bin ich der einzige, der mit JS immer mehr Probleme hat, oder benutzen die meisten Chrome-xy irgendwas, wo das JS zwar auch Amok läuft, man es aber nicht mitbekommt, weil es auf Chrome optimiert worden ist?
Es ist doch so: De facto ist der Support von Windows 7 für alle verlängert worden. Jeder, der will, kann sein System absichern. Für Privatleute stehen mit 0Patch und BypassESU zwei Lösungsansätze zur Verfügung. Beide Varianten haben Vor- und Nachteile, können aber – soviel darf man im Rückblick auf die Entwicklung in den letzten Monaten sagen – als etabliert gelten. Man muss sich nur entscheiden. Eine schlechte Wahl ist, nichts zu tun, verfügbare Sicherheitsupdates (ohne stichhaltige Begründung) auszuschlagen und darauf zu hoffen, dass es irgendwie gut geht. Kann schon sein, dass die Katze die Maus nicht fressen wird …, aber wenn doch, tja …
Bzgl. „aggressives Javascript“. Ich meiner Wahrnehmung ist das Thema ungefähr so neu wie das Firefox-Addon „NoScript“. Das ist der Klassiker, den man in Stellung bringen kann, wenn im Browser aggressives Javascript nervt.