Patchday: Microsoft sichert Windows und Browser gegen Angriffe ab

Microsoft hat Windows-Patches veröffentlicht, unter anderem aber auch einige gefährliche Angriffsmöglichkeiten auf Edge und Internet Explorer beseitigt.

In Pocket speichern vorlesen Druckansicht 112 Kommentare lesen
Patchday Microsoft
Lesezeit: 2 Min.
Von
  • Olivia von Westernhagen

Am gestrigen Patch Tuesday hat Microsoft Sicherheitsupdates für Windows, aber auch für Dynamics 365, Edge, ChakraCore, Internet Explorer, Office (nebst Services und Web-Apps), SQL Server Management Studio, den Update-Assistenten sowie verschiedene Open-Source-Software veröffentlicht. Auch ein Servicing Stack Update (SSU) ist verfügbar.

Insgesamt hat Microsoft seine Produkte gegen 59 Sicherheitslücken abgesichert. Nutzer sollten sichergehen, dass die für ihr Betriebssystem beziehungsweise die von ihnen verwendete Software verfügbaren Aktualisierungen installiert werden. Das passiert (etwa via Windows Update) meist automatisch.

Neun der geschlossenen Lücken gelten als kritisch. Sie sind durchweg aus der Ferne ausnutzbar und betreffen Azure App Service (CVE-2019-1372), die im Edge-Browser verwendete Chakra Scripting Engine (CVE-2019-1307, CVE-2019-1308, CVE-2019-1335, CVE-2019-1366), Remote Desktop Client (CVE-2019-1333) und VBScript (CVE-2019-1060, CVE-2019-1238, CVE-2019-1239). Angreifer könnten sie unter anderem ausnutzen, um aus der Ferne Code auf den verwundbaren Systemen auszuführen oder ihre Zugriffsrechte zu erweitern.

Die vier Lücken in Edges Scripting-Engine lassen sich über eine speziell präparierte Website missbrauchen: Besucht der Nutzer diese, könnte der Angreifer mittels des Exploits dessen Zugriffsrechte erlangen und in diesem Kontext beliebigen Code ausführen. Die beiden VBScript-Lücken sind in ähnlicher Weise auf den Internet Explorer anwendbar.

Bis auf eine Ausnahme – eine als "moderate" eingestufte Lücke im Redirected Drive Buffering SubSystem (RDBSS) – hat Microsoft die übrigen CVEs durchweg als "important" gekennzeichnet.

In seinen Release-Notes zu den Oktober-Updates listet das Unternehmen Links zu einzelnen CVE-Beschreibungen auf, die wichtige Zusatzinformationen enthalten oder auf zusätzlich erforderliche Schritte oder Workarounds hinweisen. Außerdem findet man dort auch eine Übersicht über bereits bekannte Probleme, die mit einzelnen Updates auftreten können.

Eine vollständige Übersicht über sämtliche Updates finden Nutzer in Microsofts Security Update Guide. Die ist allerdings recht unübersichtlich. Eine wesentlich besser strukturierte Alternative ist beispielsweise die Update-Review der Zero Day Initiative. (ovw)