Microsoft schließt gravierende Lücken in Windows und Internet Explorer
Im Zuge seines Juni-Patchdays liefert der Softwarekonzern insgesamt acht Updates aus. Zwei Patches sind für als kritisch bewertete Schwachstellen gedacht, die übrigen sechs Updates gelten als wichtig. Sie stopfen zusammen 45 Lecks in Windows, Office, Internet Explorer und Exchange Server. Angreifer können sie für Remotecodeausführung und Rechteausweitung ausnutzen.
An seinem monatlich stattfindenden Patch-Dienstag hat Microsoft für den Juni acht Sicherheits-Updates freigegeben, die insgesamt 45 Anfälligkeiten in Windows, Office, Internet Explorer und Exchange Server beseitigen. Zwei Aktualisierungen beheben als kritisch bewertete Schwachstellen, da diese Remotecodeausführung ermöglichen. Die restlichen sechs Bulletins sind mit dem Schweregrad “hoch” eingestuft. Sie erlauben Microsoft zufolge Rechteerweiterung und unter bestimmten Umständen ebenfalls das Ausführen von Schadcode.
Das erste wichtige Update MS15-056 eliminiert als kumulatives Sicherheitsupdate für Internet Explorer gleich 24 Sicherheitslücken, darunter 20 kritische Speicherfehler. Betroffen sind alle Versionen des Microsoft-Browsers, von IE6 bis IE11. Für Windows-Clients ist der Schweregrad “kritisch” angesetzt, für Server gilt die Bewertung “mittel”. Öffnet der Nutzer eine manipulierte Website, kann ein Angreifer dessen Benutzerrechte erlangen und Schadcode aus der Ferne ausführen. Microsoft zufolge sind Benutzer mit Konten, die weniger Systemrechte besitzen, davon womöglich nicht so sehr betroffen wie Benutzer mit Administratorrechten.
Der Patch MS15-057 beseitigt eine weitere als kritisch eingestufte Schwachstelle im Windows Media Player 10 bis 12, die sich unter Windows Vista, 7, Server 2003, Server 2008, Server 2008 R2 ausnutzen lassen. Auch hier kann ein Angreifer die vollständige Kontrolle über das System erlangen und Remotecode ausführen, wenn der Anwender manipulierte Medieninhalte öffnet.
Die übrigen Updates beheben weniger gravierende Sicherheitsprobleme. Vier davon betreffen Windows, eins Office und eins Microsoft Exchange Server. Patch MS15-061 stopft etwa Lecks in Windows-Kernelmodustreibern, welche im schlimmsten Fall die Ausweitung von Berechtigungen erlauben. Wenn ein Angreifer sich bei dem betroffenen System anmeldet, kann er ein Schadprogramm installieren, um Daten auszulesen, zu ändern oder zu löschen, aber auch weitere Konten mit sämtlichen Benutzerrechten erstellen.
Kurios am Patch-Dienstag dieses Monats ist die Tatsache, dass Microsoft eigentlich neun Nummern für seine Bulletins reserviert hat – von 56 bis 64. Das Update MS15-58 taucht jedoch nirgends auf und der zugehörige Knowledge-Base-Artikel enthält nur einen Platzhaltertext. Das deutet darauf hin, das diese Aktualisierung in letzter Sekunde zurückgezogen wurde.
Außer den acht Patches stellt Microsoft wie gewöhnlich auch eine aktualisierte Version seines “Windows-Tool zum Entfernen bösartiger Software” zur Verfügung. Das Programm erkennt und löscht eine Auswahl gängiger Malware, die sich im System eingenistet hat.
Nutzer sollten vor allem die für kritische Lücken gedachten Updates schnellstmöglich einspielen, falls sie nicht ohnehin die automatische Aktualisierung unter Windows nutzen. Die Patches können direkt über die jeweiligen Bulletins oder Microsoft Update beziehungsweise Windows Update bezogen werden.
Mit dem Start von Windows 10 könnte Microsoft auf die üblichen Patchdays am zweiten Dienstag eines jeden Monats verzichten. Denn mit dem kommenden, plattformübergreifenden Betriebssystem verfolgt es auch eine neue Update-Strategie, die es Anfang Mai auf seiner Konferenz Ignite in Chicago präsentiert hat.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.