Ausnutzung der Schwachstelle ist einfach
Um die meisten der neu entdeckten Schwachstellen auszunutzen, muss der Nutzer eine speziell gestaltete Website in einem Browsing-Kontext öffnen. Da die Ausnutzung für Cyberkriminelle leider relativ einfach sein soll, wurden die Sicherheitslücken als schwerwiegend eingestuft. Eines der Sicherheits-Probleme besteht dabei in Verbindung mit der Windows 10 Cloud-Zwischenablage. Es besteht dabei die Gefahr, dass unbefugte Dritte eine Aufzeichnung sensibler Daten aus der Windows 10 Cloud-Zwischenablage vornehmen.Dadurch können sensible persönliche Nutzerdaten abgegriffen werden. Zudem besteht das Risiko der Offenlegung von Informationen.
Sicherheitslücken:
- CVE-2021-38503: Umgehung von iframe-Beschränkungen, die die Ausführung von Skripten ermöglichen
- CVE-2021-38504: User-after-free im Dateiauswahldialog, was zu einer Beschädigung des Speichers und einem potenziell ausnutzbaren Absturz führt
- CVE-2021-38505: Aufzeichnung sensibler Daten in der Windows 10 Cloud-Zwischenablage, wodurch sensible Benutzerdaten in das Microsoft-Konto des Benutzers kopiert werden, was das Risiko der Offenlegung von Informationen erhöht.
- CVE-2021-38506: Thunderbird wird gezwungen, ohne Benutzerinteraktion in den Vollbildmodus zu wechseln, wodurch die Grundlage für UI-Spoofing und Phishing-Angriffe geschaffen wird.
- CVE-2021-38507: Umgehung der 'Same-Origin-Policy' durch Ausnutzung der Opportunistic Encryption-Funktion.
- CVE-2021-38508: Möglichkeit, die Eingabeaufforderung für Berechtigungen zu überlagern, um den Benutzer zur Erteilung einer beliebigen Berechtigung zu verleiten.
- CVE-2021-38509: Spoofing des JavaScript alert () Dialogs mit beliebigem Inhalt.
- CVE-2021-38510: Umgehen des 'Download-Schutzes' bei .inetloc-Dateien, was Codeausführung unter macOS ermöglicht.
- MOZ-2021-0008: Use-after-free im HTTP2-Session-Objekt, was zu Speicherbeschädigung und möglicherweise zu einem ausnutzbaren Absturz führt.
- MOZ-2021-0007: Fehler in der Speicherbeschädigung, die zur Ausführung von beliebigem Code führen können.