Das aktuelle Windows-Update fixt u.a.:

–CVE-2021-33742, a remote code execution bug in a Windows HTML component.

Und was tut es noch? Es gibt dir im Taskbar eine Wetteranzeige mit einer Windows HTML component.

Genau mein Humor!

Sonst noch bemerkenswert:

–CVE-2021-31201, an elevation of privilege flaw in the Microsoft Enhanced Cryptographic Provider
–CVE-2021-31199, an elevation of privilege flaw in the Microsoft Enhanced Cryptographic Provider

Das ist aus einer bereits in der Wildbahn angewendeten Exploit Chain. Klickst du auf die Links, kriegst du … keinerlei weiterhelfende Informationen. MSRC veröffentlicht nicht mal mehr wie früher sinnfreie Textbausteine. Da sieht man ein CVSS-Score und einen Disclaimer. Das war alles. Den Link hätten sie sich auch sparen können.

Elevation of Privilege in einer Crypto-Komponente ist in meinen Augen der Totalschaden. Das ist die Art von Problem, bei der du das Rechenzentrum kontrolliert sprengst und ein neues aufbaust. Das ist die eine Komponente, bei der man annehmen würde, dass die mit Sorgfalt entwickelt, ordentlich getestet, zu Tode auditiert und zuverlässig ist. Die hat EINE Aufgabe: Elevation of Privilege verhindern. Das ist die Aufgabe davon.

Ich finde es erschütternd, dass das jetzt so als Fußnote einer Randnotiz vorbeisegelt.

Update: Achtet mal darauf, was das CVSS ist für eine elevation of privilege in der zentralen krypto-komponente. CVSS geht von 1 bis 10. Diese Lücken haben ein Score von ... 5. Da sieht man mal schön anschaulich, was für ein Bullshit dieses Scoring ist. Eine 10 hätte die Lücke nur gekriegt, wenn sie direkt Code Execution erlaubt hätte. Wenn sie Code Execution in der anderen Komponente erlaubt, die sich auf diese Krypto-Komponente verlassen hat, dann ist es bloß eine 5. Ja nee, klar.

6/9/2021