Patchday: Microsoft macht Windows und seine Webbrowser sicherer

Microsoft dichtet diesen Monat 49 Schwachstellen ab. Davon sind 26 Lücken als kritisch eingestuft. Eine davon bedroht viele Windows-Versionen.

In Pocket speichern vorlesen Druckansicht 219 Kommentare lesen
Patchday: Microsoft macht Windows und seine Webbrowser sicherer
Lesezeit: 2 Min.

Im November stellt Microsoft zwölf Sicherheitspatches für sein Software-Portfolio bereit und schließt damit 49 Sicherheitslücken. 26 Schwachstellen stuft Microsoft als kritisch ein. Ein Großteil davon klaffte im Webbrowser Edge und dem Internet Explorer 7 bis 11.

Nutzt ein Angreifer eine dieser kritischen Lücken aus, könne er aus der Ferne beliebigen Code ausführen. Die Schwachstellen gehen beim Internet Explorer auf Speicherfehler zurück. Dabei sollen die Verwaltung von Objekten im Speicher von Jscript und VBScript zu den Verwundbarkeiten führen. Um das auszunutzen, muss ein Angreifer Microsoft zufolge Nutzer auf eine präparierte Webseite locken.

Auch beim Webbrowser Edge bilden Speicherfehler Einfallstore für Attacken aus der Ferne. Zudem sollen Angreifer über eine Lücke in der Lage sein, die Adress Space Layout Randomization (ASLR) zu umgehen.

Der Sicherheitsforscher Wolfgang Kandek von Qualys sieht die Schwachstellen mit der Microsoft-Kennung MS15-115 als besonders kritisch an. Dabei handele es sich um sieben Sicherheitslücken, die in vielen Windows-Versionen klafft; auch Server-Version seien betroffen. Angreifer sollen die Lücke über eine präparierte Webseite ausnutzen und anschließend beliebigen Code ausführen können.

Eine weitere kritische Sicherheitslücke findet sich in der Notizen-App Journal für Windows 7 und Vista. Jubelt ein Angreifer einem Opfer eine spezielle Journal-Datei unter, kann er eigenen Code ausführen.

Microsofts kryptografische Infrastrutkur SChannel erfährt ein Update, um manipulierende Eingriffe eines Man in the Middle zu verhindern. Ein Patch kümmert sich um die Kerberos-Authentifizierung. Über die Lücke soll ein Angreifer diese umgehen können und so mit Bitlocker geschützte Laufwerke entschlüsseln können.

Die Updates für Lync und Skype für Unternehmen sollen Nutzer vor bösartigen JavaScript-Nachrichten schützen. Office-Nutzer sollten den verfügbaren Patch einspielen, um sich vor manipulierten Office-Dateien zu schützen. Über diese können Angreifer Schadcode mit den Rechten des Nutzers ausführen.

[UPDATE, 11.11.2015 14:00 Uhr]

Mittlerweile berichten mehrere Leser von Problemen mit dem Patch mit der Kennung KB3097877, der die kritische Lücke in vielen Windows-Versionen schließen soll. Den Lesern zufolge stürzen verschiedene Outlook-Versionen nach der Installation des Updates beim Laden von Grafiken in HTML-E-Mails und beim Scrollen ab. (des)