Patchday: Microsoft kümmert sich um 62 Lücken, Adobe um keine

In Windows & Co. klaffen 27 als kritische eingestufte Schwachstellen. Adobe veröffentlicht zwar einen neuen Flash Player, hat darin aber keine Sicherheitslücke gestopft.

In Pocket speichern vorlesen Druckansicht 204 Kommentare lesen
Patchday: Microsoft
Lesezeit: 2 Min.
Inhaltsverzeichnis

Microsoft hat Sicherheitsupdates für Edge, Internet Explorer, Office, Outlook und Windows veröffentlicht. Damit schließen sie insgesamt 62 Schwachstellen, von denen 27 als kritisch und 35 als wichtig gelten. Eine Lücke nutzen Angreifer derzeit aktiv aus. Wer Microsoft-Software im Einsatz hat, sollte prüfen, ob die Aktualisierungen bereits via Windows Update installiert wurden.

Gegenwärtig haben Angreifer die mit dem Bedrohungsgrad "wichtig" eingestufte Schwachstelle in Word mit der Kennung CVE-2017-11826 im Fokus. Für einen erfolgreichen Übergriff müsste ein Angreifer einem Opfer ein präpariertes Word-Dokument unterjubeln. Wird dieses geöffnet, kann der Angreifer Code mit den Nutzerrechten des Opfers ausführen und den Computer übernehmen, warnt Microsoft. Zwei weitere als wichtig eingestufte Sicherheitslücken in SharePoint und dem Subsystem für Linux sind ebenfalls schon länger publik. Derzeit gibt es Microsoft zufolge aber noch keinen Exploit.

19 kritische Lücken klaffen in der Scripting Engine von Edge und Internet Explorer. Dabei soll der Besuch einer manipulierten Webseite ausreichen, um Computer zu kompromittieren. Auch diverse Schwachstellen in Microsoft Graphics und Windows Search könnten zu Remote Code Execution führen

Neben den Lücken weist Microsoft noch auf Probleme mit Trusted-Platform Moduls (TPM) auf Infineon-Mainboards hin. Diese verbauen zum Beispiel Fujitsu und HP. Das Modul könnte schwache Schlüssel erzeugen, die dann etwa bei der Festplattenverschlüsselung Bitlocker zum Einsatz kommen. Microsoft bietet nun an, die Schlüssel via Software zu generieren. Betroffene sollten nach einer reparierten Firmware Ausschau halten.

Microsoft stellt Informationen über die gepatchten Sicherheitslücken im Security Update Guide bereit. Allerdings ist die Auflistung alles andere als übersichtlich. Eine viel besser aufbereitete Liste findet sich zum Beispiel im Patchday-Blog-Artikel von HPs Zero Day Initiative.

Adobe hält für den Patchday in diesem Monat keine Sicherheitsupdates bereit. Im neuen Flash Player 27.0.0.159 haben sie lediglich einen Funktionsbug gefixt.

[UPDATE, 12.10.2017 10:15 Uhr]

Mehrere Leser berichten von Bluescreens nach der Update-Installation. Offenbar passiert dass aber nur, wenn Updates per WSUS und SCCM kommen.

[UPDATE, 13.10.2017 14:30 Uhr]

Fehler in WSUS-Update: Windows-Clients booten nicht mehr (des)