Patchday: Windows im Zeichen der kritischen Updates
Microsoft verteilt diesen Monat zwölf Sicherheitsupdates für Windows, Office und Co. Davon ist ein Großteil als kritisch eingestuft. Ein Update für Outlook wurde zurückgezogen.
Am Patchday im Dezember hält Microsoft acht als kritisch und vier als wichtig eingestufte Sicherheitsupdates bereit. Davon sind der Internet Explorer und Edge, Microsoft Office, Silverlight , die VBScripting Engine und Windows in der Client- und Serverversion betroffen. Zudem hat Microsoft ein Update für Outlook 2010 und ein SSL-/TLS-Zertifikat zurückgezogen.
Jeweils eine als kritisch eingestufte Sicherheitslücke klafft im Internet Explorer (Version sieben bis elf) und Edge. Nutzen Angreifer die Lücke aus, können sie eigenen Code auf den Computern der Opfer ausführen. Dafür reiche Microsoft zufolge der Besuch einer präparierten Webseite aus. Angreifer können über die Schwachstelle zudem die gleichen Benutzerrechte erlangen wie der aktuelle Benutzer.
Über eine Lücke im Skriptmodul VBScript können Angreifer ebenfalls Code ausführen. Dafür müssen Angreifer ihre Opfer auf eine manipulierte Webseite locken, erläutert Microsoft. Das kumulative Sicherheitsupdate verbessere die Methode, wie Objekte im Speicher verarbeitet werden und ist für Server-Core-Installationen, Windows Server 2008 und Windows Vista verfügbar.
Präparierte Schriftarten als Einfallstor
Eine weitere kritische Sicherheitslücke klafft in verschiedenen Windows-Server-Versionen. Angreifer können in dem Fall über spezielle Anfragen an einen DNS-Server Code ausführen. Das Sicherheitsupdate für die Microsoft-Grafikkomponente betrifft .NET Framework, Microsoft Lync, Microsoft Office, Silverlight, Skype for Business und alle noch unterstützten Windows-Versionen. Microsoft hat dabei nach eigenen Angaben an der Verarbeitung von Schriftarten gefeilt. Bis dahin konnten Angreifer Opfern ein Dokument oder eine Webseite mit manipulierten Schriftarten unterjubeln, um eigenen Code auf Computer zu schmuggeln.
Windows 7 und Windows Server 2008 R2 sind von einer weiteren Lücke betroffen, über die Angreifer über speziell gestaltete Schriftarten Nutzern Code unterschieben können.
Silverlight wird diesen Monat noch weiter abgedichtet. Über eine als kritisch eingestufte Lücke können Angreifer beim Öffnen und Schließen von Silverlight ansetzen und so Lese- und Schreibzugriffsverletzungen provozieren, um Nutzern eigenen Code unterzuschieben. Davon sind auch Silverlight-Nutzer betroffen, die einen Mac besitzen.
Die letzten beiden als kritisch eingestuften Lücken im Dezember klaffen in Microsoft Uniscribe unter Windows 7 und Windows Server 2008 R2 und Microsoft Office. Beide Schwachstellen können Angreifer mit manipulierten Dokumenten zur Remotecodeausführung ausnutzen.
Sicherheitsupdates mit der Einstufung Hoch
Eine in allen noch unterstützten Windows-Versionen klaffende Lücke hat Microsoft mit der Bewertung Hoch eingestuft. Darüber kann ein Angreifer zwar auch Code ausführen und im schlimmsten Fall die Kontrolle über das System übernehmen. Dafür benötigt er Microsoft zufolge jedoch lokalen Zugang zum Computer und muss eine spezielle Anwendung ausführen.
Die Sicherheitsanfälligkeit von Windows PGM betrifft nur Nutzer, die Microsoft Message Queuing installiert und das Windows-Pragmatic-General-Multicast-Protokoll aktiviert haben. Angreifer können sich dann erhöhte Berechtigungen erschleichen. Das soll auch über eine weitere Schwachstelle in allen unterstützten Windows-Versionen gelingen. Ein Übergriff gelingt aber nur, wenn ein Angreifer sich auf einem Computer anmeldet und eine Anwendung ausführt.
Das letzte mit der Bewertung Hoch eingestufte Sicherheitsupdate im Dezember betrifft das Media Center unter Windows 7, 8 und 8.1. Als Einfallstor dient dabei eine manipulierte Media-Center-Linkdatei (MCL) zu Ausführung von Code aus der Ferne.
Microsoft zieht Update für Outlook 2010 zurück
Verschiedene Leser haben heise Security darauf hingewiesen, dass das Update mit der Kennung KB3114409 Outlook zurücksetzt und die Anwendung nur noch im abgesicherten Modus startet. Den Berichten zufolge geschieht das unter Windows 7, 8.1 und 10.
Microsoft hat bereits reagiert und das Update zurückgezogen. Betroffene Nutzer mit Problemen sollen es deinstallieren, dann funktioniere Outlook wieder normal.
Digitales Zertifikat kann Spoofing ermöglichen
In einer Sicherheitsempfehlung weist Microsoft darauf hin, dass sie eine SSL-/TLS-Zertifikat für xboxlive.com zurückgezogen haben, da der private Schlüssel geleakt ist. Somit hätten Angreifer sich als Man-in-the-Middle in Verbindungen einklinken und lauschen können. Microsoft zufolge hat es keine Übergriffe gegeben. (des)
