Microsoft Patche-tirsdag 14. November 2017

Publisert: 22.11.2017

NorCERT-pulsen blir satt opp til nivå to (2) grunnet sårbarheter i myebrukte produkter fra Microsoft og Adobe.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer i
kveld [1]. Det er totalt 55 bulletiner, hvor 16 er vurdert som kritiske.

Denne månedens sikkerhetsoppdatering består i hovedsak av sårbarheter i
nettleserene til Microsoft. Disse sårbarhetene kan gjøre det mulig for en
angriper å ta kontroll over maskinen gitt at den påloggede brukeren har
lokal administrator. Ingen av sårbarhetene i dette varselet har blitt
observert utnyttet.

En annen sårbarhet som er interessant er CVE-2017-11851. 
Dette er en sårbarhet i Win32k som gjør det mulig for en angriper å lese 
Kernel Memory adresser. Denne sårbarheten kan potensielt utnyttes av 
en angriper til å ytterligere kompromittere et system. Denne sårbarheten 
er ikke ansett som kritisk, da denne sårbarheten kun kan utnyttes av en 
autentisert bruker. 

NorCERT anbefaler alle å oppdatere deres Microsoft og Adobe produkter 
til nyeste versjon så fort som mulig.

Om Exploitability Index
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
For hver sårbarhet gir Microsoft en vurdering av sannsynligheten for
at den skal kunne utnyttes. Dette kaller de «exploitability index».
En «exploitability index» på 1 betyr at Microsoft anser det som lett
å skrive stabil utnyttelseskode for sårbarheten. 0 betyr at utnyttelse er
observert, mens N betyr at sårbarheten ikke finnes i den/de versjonen(e)
av programvaren. Det gis én verdi for den nyeste versjonen av det aktuelle
produktet, og én verdi for de andre støttede versjonene. Vi markerer
sårbarhetene under med (EI: x,y) hvor x er siste versjon, og y er resterende.

Sårbarheter belyst i dette sårbarhetsvarselet:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
EI(x,y): 1,1
Tittel: Internet Explorer Memory Corruption
CVE-2017-11856
CVE-2017-11855
- ----------------------------------------------------------------------------
En sårbarhet i hvordan Internet Explorer aksesserer objekter i minnet.
Denne sårbarheten kan skrive til minnet på en måte som potensielt kan
utnyttes av en angriper. Koden vil bli kjørt i samme kontekst som den
påloggede brukeren. En angriper kan utnytte denne sårbarheten via en
spesielt utformet nettside, eller ved å benytte nettsider som tillater
brukergenerert innhold. Berukeren må selv aktiviere det skadelige
innholdet. Denne sårbarheten gjelder kun Internet Explorer. Denne
sikkerhetsoppdateringen retter hvordan Internet Explorer håndterer objekter
i minnet.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
EI(x,y): 1,1
Tittel: Scripting Engine Memory Corruption
CVE-2017-11837
CVE-2017-11843
CVE-2017-11846
CVE-2017-11838
- ----------------------------------------------------------------------------
En sårbarhet i hvordan Microsoft nettlesere håndterer script-objekter kan
føre til eksekvering av tilfeldig kode i samme kontkekst som den påloggede
brukeren. En angriper kan utnytte denne sårbarheten ved å benytte en
spesielt utformet nettside eller et Microsoft Office dokument. Et velykket
angrep vil gi angriperen samme rettigheter som den aktive brukeren. Hvis
denne brukeren er en administrator, vil dette gi angriperen full tilgang
til systemet. Denne oppdateringen bedrer hvordan Scripting Engine håndterer
objekter i minnet.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
EI(x,y): 1,N
Tittel: Scripting Engine Memory Corruption
CVE-2017-11839
CVE-2017-11841
CVE-2017-11862
CVE-2017-11873
CVE-2017-11840
CVE-2017-11859
CVE-2017-11866
CVE-2017-11871
- ----------------------------------------------------------------------------
En sårbarhet i hvordan Microsoft nettlesere håndterer script-objekter i
Microsoft Edge kan føre til eksekvering av tilfeldig kode i samme kontkekst
som den påloggede brukeren. En angriper kan utnytte denne sårbarheten ved å
benytte en spesielt utformet nettside eller et Microsoft Office dokument.
Et velykket angrep vil gi angriperen samme rettigheter som den aktive
brukeren. Hvis denne brukeren er en administrator, vil dette gi angriperen
full tilgang til systemet. Denne oppdateringen bedrer hvordan Scripting
Engine håndterer objekter i minnet.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
EI(x,y): 1,N
Tittel: Microsoft Edge Memory Corruption
CVE-2017-11845
- ----------------------------------------------------------------------------
En sårbarhet i hvordan Microsoft Edge aksesserer objekter i minnet. Denne
sårbarheten kan skrive til minnet på en måte som potensielt kan utnyttes av
en angriper. Koden vil bli kjørt i samme kontekst som den påloggede
brukeren. En angriper kan utnytte denne sårbarheten via en spesielt
utformet nettside, eller ved å benytte nettsider som tillater
brukergenerert innhold. Berukeren må selv aktiviere det skadelige
innholdet. Denne sårbarheten gjelder kun Microsoft Edge. Denne
sikkerhetsoppdateringen retter hvordan Microsoft Edge håndterer objekter i
minnet.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
EI(x,y): 2,2
Tittel: November 2017 Flash Security Updates
ADV170019
- ----------------------------------------------------------------------------
Sikkerhetsoppdateringen APSB17-33 retter følgende sårbarheter i Adobes
produkter:CVE-2017-3112, CVE-2017-3114, CVE-2017-11213, CVE-2017-11215,
CVE-2017-11225.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Ikke kritiske alarmer
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
EI(x,y): 1,1
Tittel: Windows Kernel Information Disclosure Vulnerability 
CVE-2017-11851
Alvorlighet: Important
- ----------------------------------------------------------------------------
En sårbarhet i hvordan Windows GDI-komponentet håndterer adresser i minnet.
Denne sårbarheten kan potensielt utnyttes av en angriper til å få tilgang
til informasjon som kan benyttes for videre kompromittering. Angriper må være
innlogget for å utnytte denne sårbarheten. Denne sårbarheten kan kun utnyttes
til å lese minnet. Sikkerhetsoppdateringen adresserer sårbarheten ved å 
korrigere hvordan Windows GDI-komponenten håndterer objekter i minnet.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Se Microsoft [1] og Adobe [2] sine nettsider for flere detaljer.

NorCERT anbefaler alle å oppdatere programvaren på sine systemer til siste
versjon.

Referanser:

[1]https://portal.msrc.microsoft.com/en-us/security-guidance 
[2]https://helpx.adobe.com/security.html