Microsoft behebt an seinem Patchday 56 schwerwiegende Schwachstellen
Für den September sind zwölf Patches erhältlich, die alles in allem 56 Sicherheitslücken schließen. Fünf Updates sind als kritisch klassifiziert, da die zugrunde liegenden Lecks andernfalls Remotecodeausführung ermöglichen. Die restlichen Aktualisierungen gelten als wichtig und erlauben etwa Rechteerweiterung und DOS-Attacken.
An seinem Patch-Dienstag im September hat Microsoft insgesamt zwölf Sicherheitsaktualisierungen freigegeben. Sie stopfen insgesamt 56 Sicherheitslücken in Windows, Office, Internet Explorer, SharePoint, .NET Framework, Exchange Server, Lync, Skype for Business Server sowie dem neuen Browser Edge. Fünf Updates werden als kritisch bewertet, da die zu schließenden Lecks andernfalls Remotecodeausführung erlauben. Die verbleibenden sieben Bulletins sind in den Schweregrad “hoch” eingestuft. Microsoft zufolge ermöglichen sie Rechteerweiterung, die Enthüllung von Daten, das Aushebeln von Sicherheitsfunktionen, Denial-of-Service-Attacken (DoS) und – auch in diesem Fall wieder – Remotecodeausführung.
Das erste wichtige Update MS15-094 behebt in Form eines kumulativen Sicherheitspatches für Internet Explorer gleich 17 Anfälligkeiten, darunter finden sich etwa kritische Speicherfehler-Lecks. Betroffen sind fast alle Versionen des Microsoft-Browsers – angefangen bei IE7 unter Windows Server 2008 bis hin zu IE11 im aktuellen Windows 10. Öffnet der Nutzer eine präparierte Website, kann ein Angreifer dessen Benutzerrechte erlangen und Schadcode aus der Ferne ausführen.
Das kritische Update MS15-098 betrifft gleichermaßen sämtliche unterstützten Windows-Versionen. Es korrigiert eine Schwachstelle in Windows Journal, das standardmäßig bei allen Windows-Client-Versionen ab Werk installiert ist. Windows-Server-Umgebungen sind nur betroffen, wenn Windows Journal durch Aktivieren der Funktion Desktopdarstellung eingespielt wurde. Um die Lücke zur Remotecodeausführung auszunutzen, müssen Angreifer den Anwender dazu verleiten, eine manipulierte Journaldatei zu öffnen.
Das dritte kritische Bulletin MS15-095 beseitigt ebenfalls in Form eines kumulativen Updates Fehler im neuen Windows-10-Browser Edge. Die gravierendsten können auch hier Remotecodeausführung möglich machen, wenn der Anwender eine mit Schadcode präparierte Website öffnet. Microsoft zufolge sind Benutzer mit Konten, die über weniger Systemrechte verfügen, davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten.
Die vierte kritische Aktualisierung MS15-097 behebt eine Schwachstelle in der Microsoft-Graphics-Komponente von Windows, Office und Lync. Hier ist Remotecodeausführung möglich, wenn der Nutzer manipulierte Dateien oder Websites öffnet, in die OpenType-Schriftartdateien eingebettet sind. Das Sicherheitsupdate MS15-099 bewertet Microsoft für alle unterstützten Ausgaben von Office 2007, 2010, 2013 und 2013 RT als kritisch. Ein Angreifer, der die Cross-Site-Scripting-Lücke erfolgreich ausnutzt, kann beliebigen Code in der aktuellen Benutzerumgebung ausführen und somit auch Daten erbeuten, etwa Cookies zur Authentifizierung.
Die restlichen Updates beheben weniger schwerwiegende Sicherheitsprobleme. Außer den zwölf Patches stellt Microsoft wie gehabt auch eine aktualisierte Version seines “Windows-Tool zum Entfernen bösartiger Software” parat. Das Programm erkennt und löscht eine Auswahl gängiger Schadsoftware, die sich im System eingenistet hat.
Anwender sollten vor allem die kritischen Updates schnellstmöglich einspielen, falls sie nicht ohnehin die automatische Aktualisierung unter Windows einsetzen. Die Patches können direkt über die jeweiligen Bulletins oder Microsoft Update respektive Windows Update bezogen werden.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.