Patchday: Kritische Lücken in Edge, Windows & Co.
Microsoft veröffentlicht im Dezember insgesamt zwölf Sicherheitsupdates. Im schlimmsten Fall können Angreifer Computer von Opfern durch den bloßen Aufruf einer manipulierten Webseite kapern.
Am letzten Patchday dieses Jahres versorgt Microsoft Nutzer von .Net Framework, Edge, Internet Explorer, Office (macOS und Windows) und Windows (Client und Server) mit zwölf Sicherheitsupdates. Sechs Patches sollten Admins zügig einspielen – Microsoft stuft diese als kritisch ein. Die verbleibenden sechs Sicherheitsupdates sind mit der Priorität "wichtig" versehen.
Die meisten kritischen Schwachstellen klaffen in den Webbrowsern Edge und Internet Explorer und verschiedenen Windows-Versionen. Für eine erfolgreiche Attacke müssen Angreifer Opfer entweder auf eine präparierte Webseite locken oder ihnen eine manipulierte Datei unterjubeln und sie dazu bewegen, diese zu öffnen.
Remote Code Excution
Folglich sollen Angreifer in der Lage sein, Schadcode aus der Ferne mit den Rechten des zum jeweiligen Zeitpunkt angemeldeten Nutzers auszuführen. Ein Übergriff kann weniger verheerend ausfallen, wenn ein Opfer keine Admin-Rechte hat.
Auch Office ist für das beschriebene Angriffsszenario anfällig – in diesem Fall müssen Angreifer Opfern ein speziell vorbereitetes Office-Dokument unterschieben.
Microsoft verweist auf das aktuelle Flash-Update, das unter anderem die kritische Sicherheitslücke mit der Kennung CVE-2016-7892 schließt – die Lücke steht aktuell im Fokus von Angreifern. Dabei haben sie es auf Opfer mit dem Internet Exlorer (32 Bit) unter Windows abgesehen. Der Internet Explorer 11 für Windows 8.1 und 10 bekommt das Flash-Update automatisch.
Wichtige Updates
Die als wichtig eingestuften Sicherheitspatches sind für diverse Windows-Versionen verfügbar. Setzen Angreifer an diesen Lücken an, können sie unter anderem Informationen abziehen und sich höhere Rechte erschleichen. In der Regel müssen Angreifer dafür aber lokalen Zugang zu ins Visier genommenen Computern haben.
Neue Info-Plattform für Lücken
Bisher hat Microsoft Informationen zu Sicherheitslücken ausschließlich über die Security-Bulletin-Webseite publiziert. Ab sofort kann man sich auch über den kürzlich gestarteten Security Updates Guide informieren. Dort findet man unter anderem auch die Einstufung des Schweregrades einer Schwachstelle durch den CVSS Score. Zudem soll es möglich sein, über die RESTful-API Update-Informationen automatisch erfassen zu können. Dieser neue Service soll die Security Bulletins nach dem 10. Januar 2017 ersetzen.
- MS16-144 Cumulative Security Update for Internet Explorer (3204059) Kritisch
- MS16-145 Cumulative Security Update for Microsoft Edge (3204062) Kritisch
- MS16-146 Security Update for Microsoft Graphics Component (3204066) Kritisch
- MS16-147 Security Update for Microsoft Uniscribe (3204063) Kritisch
- MS16-148 Security Update for Microsoft Office (3204068) Kritisch
- MS16-154 Security Update for Adobe Flash Player (3209498) Kritisch, Angriffe
- MS16-149 Security Update for Microsoft Windows (3205655) Wichtig
- MS16-150 Security Update for Secure Kernel Mode (3205642) Wichtig
- MS16-151 Security Update for Windows Kernel-Mode Drivers (3205651) Wichtig
- MS16-152 Security Update for Windows Kernel (3199709) Wichtig
- MS16-153 Security Update for Common Log File System Driver (3207328) Wichtig
- MS16-155 Security Update for .NET Framework (3205640) Wichtig
(des)
