Microsoft-Patchday: Fünf kritische Sicherheitsfixes, vier wichtige und ein mittelschwerer
Ab diesem Monat verteilt Microsoft Updates (fast) nur noch als kumulative Rollup-Pakete. Mit verschiedenen Patches flickt der Konzern Lücken in Windows & Co. Aktuell sollen fünf Lücken aktiv unter Beschuss stehen.
Microsoft hat Sicherheits-Patches für Windows (Client und Server), Edge, Internet Explorer, Office und Skype Business veröffentlicht. Die Updates schließen insgesamt zehn Lücken. Von diesen stuft Microsoft fünf als kritisch, vier als wichtig und eine als mittelschwer ein.
Neu an diesem Patchday ist die Art der Update-Verteilung: Ab sofort gibt es gibt nur noch kumulative Rollup-Pakete. Damit will Microsoft vor allem die Patchlevel-Fragmentierung bei Windows 7 und 8.1 eindämmen. Die Art der Verteilung zieht aber auch nach sich, dass man nun einzelne Updates nicht mehr getrennt voneinander installieren oder eben zurückhalten kann. Ähnlich ist man das bereits von Windows 10 gewohnt. Patches für einzelne Lücken oder Probleme gibt es demzufolge nicht mehr. Doch Ausnahmen bestätigen die Regel: Updates für etwa .NET-Komponenten, den Flash Player und Skype serviert der Konzern auch weiterhin einzeln.
Kritisch, wichtig, mittelschwer
Vier kritische Lücken klaffen in Edge, dem Internet Explorer, Skype Business und Windows. Für einen erfolgreichen Angriff soll der alleinige Besuch einer präparierten Webseite ausreichen. Anschließend könne ein Angreifer aus der Ferne Schad-Code ausführen, warnt Microsoft. Die fünfte kritische Lücke klafft im Flash Player.
Die mit dem Bedrohungsgrad wichtig eingestuften Schwachstellen finden sich in Office und Windows. Ein Angreifer soll diese aber nur ausnutzen können, wenn er sein Opfer etwa dazu bringt, eine präparierte Anwendung zu öffnen. Klappt das, kann ein Angreifer Informationen abziehen und sich höhere Rechte erschleichen. Die mittelschwere Lücke klafft in Microsofts Internet Messaging API. Nutzt ein Angreifer diese aus, kann er lediglich prüfen, ob Dateien auf einer Festplatte liegen.
Unter anderem warnen Sicherheitsforscher von Trend Micro davor, dass Angreifer aktuell fünf Lücken aktiv attackieren. Man sollte den Windows-Update-Vorgang also zügig abschließen.
- MS16-118 Cumulative Security Update for Internet Explorer (aktive Angriffe)
- MS16-119 Cumulative Security Update for Microsoft Edge (aktive Angriffe)
- MS16-120 Security Update for Microsoft Graphics Component (aktive Angriffe)
- MS16-121 Security Update for Microsoft Office (aktive Angriffe)
- MS16-122 Security Update for Microsoft Video Control
- MS16-123 Security Update for Windows Kernel-Mode Drivers
- MS16-124 Security Update for Windows Registry
- MS16-125 Security Update for Diagnostics Hub
- MS16-126 Security Update for Microsoft Internet Messaging API (aktive Angriffe)
- MS16-127 Security Update for Adobe Flash Player
Hinweise für mehr Sicherheit
In einem neuen Sicherheitshinweis erläutert Microsoft die Konfiguration eines TLS-Servers mit längeren Diffie-Hellmann-Ephemeral-Schlüsselfreigaben. Zudem weist der Konzern auf Sicherheitsanfälligkeiten in ASP.NET-Komponenten hin. Im schlimmsten Fall könnten sich Angreifer an dieser Stelle höhere Rechte verschaffen. (des)
