Schwerwiegende Lücke in sämtlichen Windows-Versionen geschlossen

Die Schwachstelle ist in der Microsoft-Grafikkomponente Win32k zu finden. Weitere Updates werden für Office, Skype for Business, Lync sowie die Browser Internet Explorer und Edge fällig. Auch ein schon seit drei Wochen bekanntes Leck im Samba-Server wurde behoben.
Microsoft hat zum gestrigen April-Patchday alles in allem 13 Security Bulletins veröffentlicht. Darin enthalten sind Einzelheiten zu 31 Schwachstellen in Office und Windows, zu denen auch eine als schwerwiegend klassifizierte Anfälligkeit in der Microsoft-Grafikkomponente Win32k (MS16-039) zählt. Diese existiert in allen unterstützten Windows-Varianten von Vista bis Windows 10. Schadcode könnte unter Zuhilfenahme einer in ein Dokument oder eine Website eingebetteten OpenType-Schriftartendatei eingeschleust und ausgeführt werden. Auch die Microsoft-Produkte .NET Framework, Skype for Business 2016, Lync 2013 und Lync 2010 sowie Office 2007 und 2010 sind davon betroffen.
Als gleichermaßen schwerwiegend stuft Microsoft Lücken in Internet Explorer 9, 10 und 11, Edge, den Microsoft XML Core Services, Excel und Word 2007, Office 2010, Excel und Word 2013 sowie 2013 RT, Excel und Word 2016, Word für Mac 2011, Word 2016 für Mac sowie das Office Compatibility Pack sowie Word Viewer und Excel Viewer. Hier ist ebenfalls eine Remotecodeausführung möglich, wenn ein Anwender zum Beispiel ein manipuliertes Office-Dokument oder eine entsprechend präparierte Website öffnet.
Der Patch MS16-047 beseitigt eine Anfälligkeit im Samba-Protokoll. Er ist ebenfalls für alle unterstützten Windows-Varianten verfügbar. Die Badlock genannte Schwachstelle war bereits vor knapp drei Wochen bekannt geworden. Entdeckt hatte sie ein deutscher Samba-Entwickler, ohne jedoch irgendwelche Einzelheiten zum Schweregrad der Sicherheitslücke zu nennen. Die Vorankündigung hatte teilweise für massive Kritik gesorgt, weil der Fehler in Code steckt, den der Entwickler selbst geschrieben haben soll.
Von weiteren Schwachstellen in HTTP.sys, CSRSS, Windows Hyper-V, Windows OLE und .NET Framework geht derweil ein hohes Risiko aus. Die jetzt veröffentlichten Updates sollen unter anderem Denial-of-Service-Angriffe, das Umgehen von Sicherheitsfunktionen, eine nicht autorisierte Erhöhung von Berechtigungen und das Ausführen von Schadcode verhindern.
“Das ist sicherlich ein Grund zur Sorge und Administratoren sollten ihre Systeme so schnell wie möglich patchen. Ich kann allerdings nicht sagen, dass diese Anfälligkeit einen Schweregrad erreicht, der die Aufmerksamkeit verdient, die Badlock durch eine speziell eingerichtete Website und eine Vorlaufzeit von drei Wochen erhalten hat”, kommentiert nun Karl Sigler, Threat Intelligence Manager des Sicherheitsanbieters Trustwave.
Ein dreizehntes Bulletin beschäftigt sich indes erstmals separat mit einem Sicherheitsupdate für Adobes Flash Player, den Microsoft in seine Browser Internet Explorer 10 und 11 sowie Edge unter Windows 8.1 und RT 8.1, Server 2012 und Server 2012 R2 sowie Windows 10 integriert hat. Adobe verteilt die neue Flash-Player-Version, die unter anderem eine Zero-Day-Lücke schließt, allerdings bereits seit letzter Woche.
Anwender sollten vor allem die für die gravierenden Sicherheitslücken gedachten Updates so schnell wie möglich einspielen, falls sie nicht ohnehin die automatische Aktualisierung unter Windows verwenden. Die Patches lassen sich unmittelbar über die jeweiligen Bulletins oder Microsoft Update respektive Windows Update beziehen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.