SicherheitSicherheitsmanagement

Microsoft patcht gravierende Schwachstellen in Windows, Internet Explorer und Edge

Update (Bild: Shutterstock)
2 1 Keine Kommentare

In Office und .NET Framework finden sich weitere schwerwiegende Lücken. Gegebenenfalls kann ein Angreifer vollständig die Kontrolle über ein betroffenes System erlangen. Alles in allem bringt der Februar-Patchday 13 Sicherheitsupdates.

Microsoft hat an seinem Februar-Patchday insgesamt 13 Sicherheitsaktualisierungen freigegeben. Sie beseitigen unter anderem schwerwiegende Schwachstellen in den Browsern Internet Explorer und Edge, den Office-Applikationen sowie allen Windows-Versionen. Weitere Sicherheitslücken schließt das Unternehmen aus Redmond in Office und .NET Framework.

Update (Bild: Shutterstock)

Die Patches MS16-009 und MS16-011 korrigieren 13 Fehler in Internet Explorer 9, 10 und 11 sowie sechs weitere Bugs in Edge. Angreifer könnten sie ausnutzen, um Schadcode einzuschleusen und auszuführen. Ihr Opfer müssten sie dazu lediglich zum Besuch einer speziell präparierten Website verleiten. Die komplette Kontrolle über ein System bekommt ein Hacker jedoch nur, wenn der Nutzer mit administrativen Rechten angemeldet ist.

Zwei weitere gravierende Lücken finden sich in der Windows-PDF-Bibliothek unter Windows 8.1, Server 2012 und 2012 R2 sowie Windows 10. Die PDF-Bibliothek verarbeitet gegebenenfalls gewisse API-Aufrufe fehlerhaft, was wiederum eine Remotecodeausführung möglich macht. Für Windows Vista, Server 2008, 7, Server 2008 R2, 8.1, Server 2012 und 2012 R2 und Windows 10 steht der Patch MS16-013 bereit. Er schließt ein schweres Leck im Windows-Journal. Auch hier sind Benutzer mit Konten, die über weniger Systemrechte verfügen, womöglich weniger betroffen als Anwender mit Administratorrechten.

Als schwerwiegend stuft Microsoft auch drei von sechs Ânfälligkeiten in Office sowie Word und Excel 2007, 2010, 2013, 2013 RT und 2016 sowie Excel und Word für Mac 2011 und 2016. Das Update MS16-015 beseitigt aber auch einen Fehler in SharePoint, der die Erstellung websiteübergreifender Skripte erlaubt. Gegebenenfalls könnte ein Angreifer “Inhalte lesen, für die er keine Leseberechtigung besitzt, die Identität des Opfers verwenden und schädlichen Inhalt in den Browser des Opfers injizieren”, teilt Microsoft mit.

Von den Lücken, die die weiteren sieben Updates schließen sollen, geht laut Microsoft ein hohes Risiko aus. Darunter sind Schwachstellen in allen unterstützten Windows-Versionen sowie den Komponenten Winsock, Remote-Desktop-Protokoll, Kernelmodustreibern, Active Directory und NPS-Radius-Server. Sie sollen unter anderem Denial-of-Service-Angriffe sowie eine nicht autorisierte Ausweitung von Benutzerrechten ermöglichen. Das Update MS16-019 für .NET Framework 2, 3.5.1, 4.5.2 und 4.6.x schließt derweil zwei Lücken, die Denial-of-Service-Angriffe erlauben oder zur Enthüllung persönlicher Daten führen können.

Für Windows 10 steht zudem eine kumulative Aktualisierung bereit. Es bringt das Build 10586.104. Neu ist auch, dass Microsoft auf seiner Website ausführliche Versionshinweise veröffentlicht – bislang hatte das Unternehmen keine Angaben zu nicht sicherheitsrelevanten Verbesserungen oder Korrekturen der kumulativen Patches gemacht.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Seit September 2013 ist Rainer hauptsächlich für ITespresso im Einsatz, schreibt aber gerne auch mal hintergründige Artikel für ZDNet und springt ebenso gerne für silicon ein. Er interessiert sich insbesondere für die Themen IT-Security und Mobile. Sein beständiges Ziel ist es, die komplexe IT-Welt so durchsichtig und verständlich wie möglich abzubilden.

Folgen