Patchday: Microsoft patcht viel, Adobe wenig
Im Dezember kümmert sich Microsoft um Sicherheitslücken in Office, Windows & Co. Adobe stellt diesen Monat nur ein Sicherheitsupdate für Flash bereit – die Lücke gilt nicht als kritisch.
Am Patchday in diesem Monat hat Microsoft Sicherheitsupdates für unter anderem Edge, Exchange, Internet Explorer, Office, Scripting Engine und verschiedene Windows-Versionen veröffentlicht. Damit schließen sie insgesamt 32 Sicherheitslücken. Davon gelten 20 als kritisch. Zwölf Updates hat Microsoft als "wichtig" eingestuft.
Von Adobe kommt diesen Monat nur ein Sicherheitsupdate für den Flash Player. Der Software-Hersteller stuft die Lücke nicht als kritisch ein. Nutzen Angreifer die Lücke aus, sollen sie lediglich die globale Einstellungsdatei zurücksetzen können. Wer Flash nutzt, sollte nichtsdestotrotz die aktuelle Version 28.0.0.126 für Linux, macOS und Windows installieren.
Welche Flash-Version auf dem eigenen Computer läuft, kann man auf einer Webseite von Adobe prüfen. Die abgesicherten Ausgaben finden sich über die Download-Webseite. An dieser Stelle sollte man aufpassen: Standardmäßig ist weitere Software ausgewählt, die neben dem Flash Player auf dem Computer landet – diese lässt sich abwählen. Der Webbrowser Chrome aktualisiert Flash automatisch. Unter Windows 8.1 und 10 tun dies auch Edge und Internet Explorer 11.
Kritische Windows-Lücken
Der Großteil der als gefährlich eingestuften Lücken klafft in der Scripting Engine von Edge und Internet Explorer. Lockt ein Angreifer ein Opfer auf eine präparierte Webseite, kann dies einen Speicherfehler auslösen. So könnten Angreifer Schadcode aus der Ferne auf anfälligen Computern ausführen.
Im Kontext der kritischen Lücken verweist Microsoft abermals auf zwei Schwachstellen in der Malware Protection Engine, die unter anderem beim Virenscanner Windows Defender zum Einsatz kommt. Dafür hat Microsoft bereits außer der Reihe einen Notfallpatch veröffentlicht. Zum Ausnutzen müsste ein Angreifer Opfern lediglich eine präparierte Datei unterschieben, die der Scanner untersuchen muss. Anschließend ist Remote Code Execution möglich.
Weitere Sicherheitsupdates
Nutzt ein Angreifer die als "wichtig" eingestuften Lücken aus, kann er beispielsweise Informationen von Webbrowsern abziehen. Zudem warnt Microsoft davor, dass Angreifer den Device Guard austricksen könnten, sodass dieser eine Datei mit Schadcode als vertrauenswürdig einstuft.
Microsoft stellt Informationen über die gepatchten Sicherheitslücken im Security Update Guide bereit. Allerdings ist die Auflistung alles andere als übersichtlich. Eine viel besser aufbereitete Liste findet sich zum Beispiel im Patchday-Blog-Artikel von Ciscos Talos-Team.
Sicherheitshinweise
In einem separaten Hinweis informiert Microsoft über ein Word-Update, welches das Dynamic-Update-Exchange-Protokoll (DDE) deaktiviert. Einige Malware setzt auf DDE-Exploits. Diese sollte so ausgesperrt bleiben. In einem zweiten Beitrag weist Microsoft auf ein Exchange-Update hin, das die Sicherheit steigern soll.
[UPDATE 13.12.2017 11:45 Uhr]
Bei einigen Windows-7-Nutzern taucht beim Update der Fehlercode 80248015 auf und sie können keine Patches installieren. Dabei handelt es sich um einen Datums-Bug in einer für den Update-Prozess benötigten Windows-Datei.
Damit das Updaten trotzdem klappt, müssen Betroffene ihre Systemzeit einmalig auf den 02.12.2017 stellen und den Computer neu starten. Anschließend sollten die Updates wieder wie gewohnt funktionieren.
Der erweiterte Support von Windows 7 endet am 14 Januar 2020. Ab dann bekommt das Betriebssystem keine Sicherheitsupdates mehr. (des)
