Patchday: Attacken gegen Internet Explorer
Microsoft hat wichtige Sicherheitsupdates für Office, Windows & Co. veröffentlicht. Mehre Schwachstellen gelten als kritisch.
Am Patchday im Februar kĂĽmmert sich Microsoft um .NET Framework, Azure, ChakraCore, Edge, Exchange Server, Internet Explorer, Office, Team Foundation Services und Windows. Insgesamt gibt es ĂĽber 70 Sicherheitshinweise. 20 SicherheitslĂĽcken sind mit dem Bedrohungsgrad "kritisch" eingestuft.
Besonders gefährdet sind Admins, die einen Windows-DHCP-Server betreiben. Für einen erfolgreichen Angriff müssten Angreifer lediglich präparierte Pakete an der Server schicken, um anschließend Schadcode ausführen zu können. In einer Sicherheitswarnung zur Lücke (CVE-2019-0626) listet Microsoft die betroffenen Windows-Versionen auf.
Die Webanwendung SharePoint ist über zwei als kritisch eingestufte Schwachstellen (CVE-2019-0604, CVE-2019-0594) angreifbar. Aufgrund einer unzureichenden Überprüfung soll der Upload einer speziell vorbereiteten SharePoint-Applikation die Tore für Schadcode öffnen, warnt Microsoft in seinem Sicherheitscenter.
Weitere kritische LĂĽcken finden sich in Internet Explorer und Edge. Dabei kommt es zu Fehlern bei der Speicherverarbeitung und beispielsweise der Besuch einer von einem Angreifer vorbereiteten Website soll genĂĽgen, um Schadcode auf Computern von Opfern auszufĂĽhren.
Internet Explorer im Visier von Angreifern
In einer Mitteilung warnt Microsoft vor Angriffen auf den Internet Explorer. Besucht ein Opfer eine präparierte Website, könnte ein Angreifer Festplatten nach Daten durchsuchen. Microsoft stuft das Sicherheitsupdate für die Lücke (CVE-2019-0676) als "wichtig" ein.
Nun gibt es auch einen Patch für einen Bug in Exchange. Durch das Ausnutzen können sich Angreifer höhere Rechte aneignen, schreibt Microsoft in einer Warnung. Bislang gab es nur Workarounds, um Exchange-Server zu schützen.
Office-Patches
Für Office hat Microsoft ein ganzes Update-Paket veröffentlicht. Darunter finden sich 19 Sicherheits- und 28 Funktionsupdates. Weitere Infos dazu findet man auf einer Website.
Das Update fĂĽr den Flash Player fĂĽr Edge und Internet Explorer installiert sich unter Windows 8.1 und 10 automatisch. Das ist in diese Konstellation auch bei Chrome der Fall.
In seinem Security Update Guide listet Microsoft weitere Infos zu den SicherheitslĂĽcken und Patches auf. Das ist aber nicht wirklich ĂĽbersichtlich. Beispielsweise im Blog von Trend Micros Zero Day Initiative bekommt man einen besseren Ăśberblick. (des)
