Microsoft-Patchday: Uralt-Lücke aus Windows-95-Zeiten geschlossen

Microsoft hat für diesen Monat 16 Sicherheitsupdates herausgegeben. Fünf davon sind kritisch und eine wichtige Lücke namens "BadTunnel" betrifft alle Windows-Versionen seit Windows 95.

In Pocket speichern vorlesen Druckansicht 377 Kommentare lesen
Patchday
Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel
Inhaltsverzeichnis

Auch im Juni heißt es für Windows-Nutzer wieder Patches einspielen: Microsoft hat diesen Monat 16 Sicherheitsupdates veröffentlicht. Fünf davon gelten als kritisch, darunter die Sammel-Updates für die beiden Browser Edge und Internet Explorer. Elf weitere Lücken werden von Microsoft als wichtig eingestuft. Eine dieser Lücken betrifft alle Windows-Versionen seit Windows 95 und kann dazu missbraucht werden, Windows-Nutzer auszuspionieren.

Die kumulativen Browser-Updates verdienen besondere Beachtung. Der Edge-Browser kann über manipulierte Webseiten gekapert werden, was es den Angreifern erlaubt, Schadcode auszuführen. Die Versionen 9 und 11 des Internet Explorers haben Sicherheitslücken mit ähnlichen Auswirkungen. Beim Internet Explorer 10 ist die Lage weniger kritisch, die Patches sollten aber auch hier schnellstmöglich installiert werden.

Sicherheitslücken im Windows-Modul Web Proxy Auto Discovery (WPAD) können dazu missbraucht werden, den Netzwerk-Verkehr des Opfers zu manipulieren. Microsoft schätzt die Sicherheitslücke nicht als kritisch ein, aber laut einer Meldung bei Forbes können Angreifer aus dem Internet sie über Microsofts Browser ausnutzen und so den Netzwerkverkehr des Opfers über den eigenen Rechner umleiten. Der Sicherheitsforscher, der die Lücke entdeckte, nennt sie "BadTunnel" und will sie auf der Black-Hat-Konferenz in Las Vegas im August vorstellen. Seiner Aussage nach kann ein Angreifer damit Windows-Update-Downloads manipulieren oder unverschlüsselten Traffic der Opfer ausspähen.

Die Lücke wurde für alle unterstützten Windows-Versionen geschlossen, soll aber alle Windows-Versionen seit Windows 95 betreffen. Nutzern von nicht mehr unterstützten Windows-Versionen bleibt nicht anderes übrig, als NetBIOS über TCP/IP zu deaktivieren, um sich vor der Lücke zu schützen.

Des weiteren schließt Microsoft Lücken im DNS-Server von Windows Server 2012 und 2012 R2, in Microsoft Office, in den JScript- und VBScript-Engines von Windows sowie im Kernel und diversen Windows-Komponenten.

  • MS16-063 Cumulative Security Update for Internet Explorer
  • MS16-068 Cumulative Security Update for Microsoft Edge
  • MS16-069 Cumulative Security Update for JScript and VBScript
  • MS16-070 Security Update for Microsoft Office
  • MS16-071 Security Update for Microsoft Windows DNS Server
  • MS16-072 Security Update for Group Policy
  • MS16-073 Security Update for Windows Kernel-Mode Drivers
  • MS16-074 Security Update for Microsoft Graphics Component
  • MS16-075 Security Update for Windows SMB Server
  • MS16-076 Security Update for Netlogon
  • MS16-077 Security Update for WPAD
  • MS16-078 Security Update for Windows Diagnostic Hub
  • MS16-079 Security Update for Microsoft Exchange Server
  • MS16-080 Security Update for Microsoft Windows PDF
  • MS16-081 Security Update for Active Directory
  • MS16-082 Security Update for Microsoft Windows Search Component

Windows-Anwender können die Sicherheitsupdates wie gewohnt über Microsoft Update installieren, wenn dies nicht bereits automatisch geschehen ist. Für Windows 10 verteilt Microsoft die Patches wie immer als kumulatives Update und behebt dabei auch einige nicht-sicherheitsrelevante Probleme. Eine Liste dieser Verbesserungen pflegt Microsoft im Windows-10-Updateverlauf. (fab)