Microsoft schließt gravierende Lücken in Windows und seinen Browsern
Auch eine Zero-Day-Schwachstelle, die Anwender aller Ausführungen des Internet Explorer betrifft, findet sich darunter. Alles in allem bietet der Mai-Patchday 15 Sicherheitsaktualisierungen für 33 Anfälligkeiten, die auch Lücken in .NET Framework sowie Office schließen sollen.
An seinem Mai-Patchday hat Microsoft 15 Sicherheitsaktualisierungen freigegeben, die insgesamt 33 Lücken schließen. Als gravierend bewertete Schwachstellen finden sich in Internet Explorer, Edge, JScript und VBScript, Office und sämtlichen Windows-Ausgaben. Microsoft weist außerdem darauf hin, dass eine der Anfälligkeiten schon aktiv für Hackerattacken missbraucht wird. Dadurch werden wiederum Internet Explorer, JScript und VBScript angreifbar.
Betroffen sind Internet Explorer 9, 10 und 11 sowie JScript und VBScript unter Windows Vista und Server 2008. Die schwachstelle mit der Kennung CVE-2016-0189 ermöglicht laut Microsoft das Einschleusen und Ausführen von Schadcode. Ein Opfer muss dazu nur auf eine präparierte Website gelockt werden. Die Anfälligkeit lässt sich jedoch auch über manipulierte Anzeigen ausnutzen.
Mehrere Speicherfehler können unter Office 2007, 2010, 2013 und 2013 RT, 2016 sowie Office für Mac 2011 und Office 2016 für Mac durch speziell präparierte Office-Dokumente verursacht werden. Sie ermöglichen dann ebenfalls eine Remotecodeausführung. Auch Word Viewer, das Office Compatibility Pack, die Office Web Apps 2010 und die Word-Automatisierungsdienste unter SharePoint Server 2010 Service Pack 2 sind davon betroffen.
Weitere gravierende Lücken schließt Microsoft in der Windows-Grafikkomponente, Windows Journal und Windows-Shell. Ein hohes Risiko geht derweil von Anfälligkeiten in den Komponenten IIS, Media Center, Kernel, Remoteprozeduraufruf, Kernelmodustreiber und Volume-Manager-Treiber aus. Ein Fehler in der TLS/SSL-Implementierung von .NET Framework kann dazu führen, dass Informationen enthüllt werden. Darüber hinaus ist der virtuelle sichere Modus von Windows 10 anfällig für das Aushebeln von Sicherheitsfunktionen.
Ein sechzehntes Bulletin verweist auf ein noch nicht freigegebenes Sicherheitsupdate für Adobe Flash Player. Dieses soll eine Zero-Day-Lücke schließen, vor der derzeit Adobe warnt. Demzufolge umfasst das für den morgigen Donnerstag angekündigte Update APSB16-15 Patches für insgesamt 24 Anfälligkeiten.
Nutzer sollten insbesondere die als wichtig eingestuften Updates schnellstmöglich einspielen, falls sie nicht ohnehin die automatische Aktualisierung unter Windows verwenden. Die Patches lassen sich dann direkt über die jeweiligen Bulletins oder Microsoft Update respektive Windows Update beziehen.
Anwender von Windows 10 bekommen überdies das Build 10586.318. Es soll Verbesserungen für Cortana, Bluetooth, Shell, Internet Explorer 11, Edge, Miracast und USB bringen. Darüber hinaus wurden Probleme mit der Umstellung auf die Sommerzeit und der Erkennung von Compact-Flash-Speicherkarten beseitigt.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.