Nachrichten

Microsoft: Zehn Sicherheits-Updates und fünf 0-Day-Lücken

Internet | HT4U.net
Obwohl Microsoft den Patchday zum Auslaufmodell erklärt hatte, bringt der zweite Dienstag jedes Monats auch weiterhin neue Sicherheits-Updates. Im Oktober 2016 sind es zehn neue Flicken, von denen die Hälfte kritische Schwachstellen behebt. Vier Updates wurden als wichtig eingestuft und kümmern sich um hochgefährliche Fehler, während sich der letzte Patch um ein moderates Risiko kümmert.

Insgesamt wurden diesmal 56 Sicherheitslücken gestopft, von denen 5 bereits angegriffen werden. 44 Fehler stecken in Microsofts eigenen Produkten, die übrigen 12 finden sich in Adobes Flash Player, welcher ebenfalls aktualisiert wurde. Der Flash Player wird von Microsoft für die Webbrowser Internet Explorer und Edge genutzt.

Hier nun die behobenen Sicherheitslücken in einer kurzen Zusammenfassung:
  • 11 Schwachstellen betreffen den Internet Explorer, sechs davon ermöglichen Speichermanipulationen und das Einschleusen von Schadcode. Dazu kommen drei Informationslecks und zwei Rechteausweitungen. Nur eines der Datenlecks (CVE-2016-3298) wird bisher angegriffen, und keine der Schwachstellen wurde öffentlich dokumentiert.

  • 13 Sicherheitslücken wurden in Edge entdeckt, darunter sieben Speichermanipulationen und je zwei Datenlecks und Rechteausweitungen. Die Sicherheitsvorkehrungen des Browsers lassen sich mit Hilfe manipulierter Dokumente austricksen, und bösartige Webseiten können über die Scripting-Engine eigenen Code einschleusen. Der letztgenannte Fehler wird bereits angegriffen, aber keine der Schwachstellen wurde bisher öffentlich dokumentiert.

  • 7 Fehler in der Grafikkomponente können zum Einschleusen von Schadcode, zum Ausweiten der Benutzerrechte sowie zum Abgreifen von Daten missbraucht werden. Abgesehen von Windows sind hiervon auch Office, Skype for Business, Silverlight und Lync betroffen. Eine kritische Lücke in der GDI-Komponente wird bereits angegriffen, um Schadcode einzuschleusen.

  • Ein Fehler bei der Verarbeitung von RTF-Dokumenten kann als Einfallstor für Schadprogramme dienen und auch dieser Bug wird bereits attackiert. Betroffen sind Office 2007, 2010, 2013, 2016, Office für Mac 2011 und 2016, der Word Viewer, die SharePoint Server 2010 und 2013, die Office Web Apps 2010 und 2013 sowie der Office Online Server.

  • Ein Fehler im Microsoft Video Control stellt für Windows Vista, 7, 8.1, RT 8.1 und 10 ein kritisches Risiko dar, doch bisher hat niemand diese Schwachstelle ausgenutzt, um Schadcode auf das System eines Opfers zu bringen.

  • 5 Sicherheitslücken in den Kernel-Mode-Treibern können für Rechteausweitungen missbraucht werden. Alle Versionen von Windows inklusive der Server und Core-Installationen sind hiervon betroffen, doch bisher wurden diese Fehler weder offengelegt noch angegriffen.

  • 4 weitere Rechteausweitungen ermöglichen lokal angemeldeten Benutzern den Zugriff auf geschützte Bereiche der Registrierungsdatei, betroffen sind alle Varianten von Windows. Bisher gibt es weder eine öffentliche Beschreibung des Fehlers noch sind Angriffe bekannt.

  • Ein Fehler im Diagnose-Hub von Windows 10 lässt sich von angemeldeten Benutzern missbrauchen, um Code mit erhöhten Rechten auszuführen. Auch dieses Problem wurde bis dato weder publiziert noch attackiert.

  • Ein Problem in der Internet-Messaging-API von Windows Vista und 7 sowie Server 2008 und 2008 R2 ermöglicht es Angreifern, auf der lokalen Festplatte nach Dateien zu suchen. Dieser Fehler wird bereits ausgenutzt, öffentlich dokumentiert wurde er aber noch nicht.

Da sich unter den 44 behobenen Sicherheitsanfälligkeiten auch fünf 0-Day-Lücken finden, sollte man die Updates zeitnah einspielen.

Autor: mid
[]







Stichworte zur Meldung: Microsoft: Zehn Sicherheits-updates Und