BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

KLA11002
Microsoft Edge ve Microsoft Internet Explorer'daki birden çok güvenlik açığı

Yüklendi : 07/05/2018
Bulunma tarihi
?
05/09/2017
Şiddet
?
Kritik
Açıklama

Microsoft Edge, Microsoft Internet Explorer 9 ile 11 arasında birden çok ciddi güvenlik açığı bulundu. Zararlı kullanıcılar, rasgele kod yürütmek, ayrıcalıklar kazanmak, güvenlik sınırlamalarını atlamak, kullanıcı arabirimini atlamak için bu güvenlik açıklarından yararlanabilir.

Aşağıda güvenlik açıklarının tam listesi:

  1. Microsoft Internet Explorer'da karışık içeriğin yanlış kullanımı, kötü amaçlı bir web sitesi aracılığıyla veya güvenlik kısıtlamalarını atlamak için özel olarak tasarlanmış * .url dosyasını içeren bir e-posta yoluyla uzaktan kullanılabilir.
  2. Microsoft Edge'de bellekteki nesnelere erişimin yanlış bir şekilde kullanılması, isteğe bağlı kod yürütmek için özel olarak tasarlanmış bir web sitesi aracılığıyla uzaktan kullanılabilir;
  3. Microsoft ınternet Explorer'da belleğe nesnelere erişimin ele alınmasıyla ilgili olan JavaScript Engine'deki birden fazla güvenlik açığı, isteğe bağlı kodu çalıştırmak için özel olarak tasarlanmış bir web sitesi aracılığıyla uzaktan kullanılabilir;
  4. JavaScript motorlarındaki nesnelerin yanlış bir şekilde işlenmesi sırasında yapılan çoklu güvenlik açıkları, özel olarak tasarlanmış web siteleri ve Microsoft belgeleri veya rasgele kod yürütmek için "başlatma için güvenli" olarak işaretlenmiş bir yerleşik ActiveX denetimi aracılığıyla uzaktan kullanılabilir;
  5. Microsoft Internet Explorer'da karışık içeriğin yanlış kullanımı, isteğe bağlı kod çalıştırmak için özel olarak tasarlanmış bir web sitesi aracılığıyla uzaktan kullanılabilir;
  6. Microsoft Edge Microsoft komut dosyalama motorları tarafından yapılan bellekteki nesnelerin yanlış bir şekilde ele alınmasıyla ilgili birden fazla güvenlik açığı, özel olarak tasarlanmış web siteleri ve Microsoft belgeleri veya rasgele kod yürütmek için "başlatma için güvenli" olarak işaretlenmiş bir yerleşik ActiveX denetimi aracılığıyla uzaktan kullanılabilir;
  7. HTML'nin yanlış bir şekilde ayrıştırılması ve SmartScreen Filtresinin yanlış bir şekilde oluşturulmasının, kullanıcı arabiriminin sahteciliğine yönelik özel olarak tasarlanmış bir URL aracılığıyla uzaktan yararlanılabilir;
  8. Microsoft Edge'deki sanal alanların yanlış bir şekilde ele alınması, AppContainer sanal alanından kurtulmak ve ayrıcalıklar kazanmak için uzaktan kullanılabilir.
  9. Chakra JavaScript Engine'deki birden fazla güvenlik açığı, özel olarak tasarlanmış web siteleri ve Microsoft belgeleri veya rasgele kod yürütmek için "başlatma için güvenli" olarak işaretlenmiş bir yerleşik ActiveX denetimi aracılığıyla uzaktan kullanılabilir;
  10. JavaScript Engine'de bellekteki nesnelerin yanlış işlenmesi, özel olarak tasarlanmış web siteleri ve Microsoft belgeleri veya "başlatma için güvenli" olarak işaretlenmiş bir yerleşik ActiveX denetimi yoluyla isteğe bağlı kod çalıştırılarak uzaktan kullanılabilir;
  11. Microsoft Edge'deki URL'de etki alanı olmayan bir sayfanın yanlış oluşturulması, bir kullanıcının ayrıcalıklar elde etmek ve Intranet Bölgesi bağlamında eylemler gerçekleştirmek ve bazı tarayıcı işlevlerine erişmek için özel olarak tasarlanmış bir web sayfasını ziyaret etmeye ikna ederek uzaktan kullanılabilir. İnternet Bölgesi'nin içeriğinde gezinirken kullanılamaz.

Teknik detaylar

Güvenlik açığı (1), güvenli olmayan HTTS konumlarına güvenli olmayan HTTP içeriğinin yüklenmesine izin verir.

Chakra JavaScript Engine'deki (9) güvenlik açıkları, Microsoft Edge'de oluşturma ile ilgilidir.

Yukarıda özel olarak tasarlanmış bir web sayfası aracılığıyla açıklanan tüm güvenlik açıklarından yararlanmak için, kötü niyetli bir kullanıcı kullanıcıyı bir şekilde ziyaret etmeye ikna etmelidir.

Etkilenmiş ürünler

Microsoft Edge
Microsoft Internet Explorer 9'dan 11'e kadar olan sürümler

Çözüm

Windows Güncellemenizde listelenen KB bölümünden gerekli güncellemeleri yükleyin (Windows Update genellikle Kontrol Panelinden erişilebilir)

Orijinal öneriler

CVE-2017-0266
CVE-2017-0241
CVE-2017-0240
CVE-2017-0238
CVE-2017-0236
CVE-2017-0235
CVE-2017-0234
CVE-2017-0233
CVE-2017-0231
CVE-2017-0230
CVE-2017-0229
CVE-2017-0228
CVE-2017-0227
CVE-2017-0226
CVE-2017-0224
CVE-2017-0222
CVE-2017-0221
CVE-2017-0064
CVE-2017-0223

Etkiler
?
SUI 
[?]

ACE 
[?]

SB 
[?]

PE 
[?]
CVE-IDS
?

CVE-2017-0266
CVE-2017-0241
CVE-2017-0240
CVE-2017-0238
CVE-2017-0236
CVE-2017-0235
CVE-2017-0234
CVE-2017-0233
CVE-2017-0231
CVE-2017-0230
CVE-2017-0229
CVE-2017-0228
CVE-2017-0227
CVE-2017-0226
CVE-2017-0224
CVE-2017-0222
CVE-2017-0221
CVE-2017-0064

Microsoft resmi önerisi
CVE-2017-0266
CVE-2017-0241
CVE-2017-0240
CVE-2017-0238
CVE-2017-0236
CVE-2017-0235
CVE-2017-0234
CVE-2017-0233
CVE-2017-0231
CVE-2017-0230
CVE-2017-0229
CVE-2017-0228
CVE-2017-0227
CVE-2017-0226
CVE-2017-0224
CVE-2017-0222
CVE-2017-0221
CVE-2017-0064
CVE-2017-0223
KB listesi

4016871
4019474
4018271
4019215
4019264
4019216
4034668
4034733
4034674
4034681
4034658
4034660


Orijinaline link
Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin