Patchday: Microsoft schließt Zero-Day-Lücke im Internet Explorer

Wie jeden Monat heißt es auch im Mai für Windows-Nutzer wieder einmal: Jetzt schnell Patches einspielen! Diesmal ist es besonders dringend, denn eine im Patchday geschlossene Lücke wurde bereits vor ihrer Veröffentlichung aktiv für Angriffe missbraucht.

In Pocket speichern vorlesen Druckansicht 165 Kommentare lesen
Microsoft Patchday
Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel
Inhaltsverzeichnis

Microsoft hat in der Mai-Ausgabe seines allmonatlichen Patchdays insgesamt 15 verschiedene Updates herausgebracht. 7 davon gelten als kritisch, da die gestopften Sicherheitslücken Angreifern erlauben, Schadcode aus der Ferne auf das System zu laden und dann auszuführen.

Besondere Aufmerksamkeit erfordert ein Update der Scripting Engine für JScript und VBScript des Internet Explorers. Hier existiert eine Lücke (CVE-2016-0189), die bereits vor der Veröffentlichung durch Microsoft von Angreifern ausgenutzt wurde – ein sogenannter Zero Day. Wie Symantec berichtet, sind damit gezielt Nutzer in Südkorea angegriffen worden. Anwender sollten deshalb vor allem das IE-Sammelupdate umgehend einspielen, hier besteht bereits jetzt ein sehr reales Risiko für Angriffe.

Weitere kritische Updates werden für den Edge Browser, die JScript- und VBScript-Schnittstellen in Windows selbst und Office verteilt. Andere Windows-Komponenten, unter anderem das Grafik-Modul, haben ebenfalls kritische Sicherheitslücken. Die restlichen Updates sind allesamt mit der zweithöchsten Priorität "wichtig" versehen. Hier finden sich der Microsoft-Webserver IIS, das Windows Media Center, die RPC-Schnittstelle, das .NET-Framework und der Windows Kernel.

  • MS16-051 Cumulative Security Update for Internet Explorer
  • MS16-052 Cumulative Security Update for Microsoft Edge
  • MS16-053 Cumulative Security Update for JScript and VBScript
  • MS16-054 Security Update for Microsoft Office
  • MS16-055 Security Update for Microsoft Graphics Component
  • MS16-056 Security Update for Windows Journal
  • MS16-057 Security Update for Windows Shell
  • MS16-058 Security Update for Windows IIS
  • MS16-059 Security Update for Windows Media Center
  • MS16-060 Security Update for Windows Kernel
  • MS16-061 Security Update for Microsoft RPC
  • MS16-062 Security Update for Windows Kernel-Mode Drivers
  • MS16-065 Security Update for .NET Framework
  • MS16-066 Security Update for Virtual Secure Mode
  • MS16-067 Security Update for Volume Manager Driver

Außerdem verteilt Microsoft noch einen Patch (MS16-064) für eine kritische Lücke in Adobe Flash. Adobe hat entsprechende eigene Updates für Flash angekündigt, diese bis jetzt aber noch nicht als Teil der eigenen Patchday-Updates für Mai verteilt.

Windows-Anwender können die Sicherheitsupdates wie gewohnt über Microsoft Update installieren, wenn dies nicht bereits automatisch geschehen ist. Angesichts der Fülle der kritischen Lücken und der IE-Lücke, die bereits ausgenutzt wird, sollte man damit nicht all zu lang warten. Für Windows 10 verteilt Microsoft die Patches wie immer als kumulatives Update und behebt dabei auch einige nicht-sicherheitsrelevante Probleme. Eine Liste dieser Verbesserungen pflegt Microsoft in seiner Windows 10 Update History.

Informationen zum Flash-Patch und zu Adobes Patchday hinzugefügt. (fab)