Microsoft-Patchday: Uralt-Lücke aus Windows-95-Zeiten geschlossen
Microsoft hat für diesen Monat 16 Sicherheitsupdates herausgegeben. Fünf davon sind kritisch und eine wichtige Lücke namens "BadTunnel" betrifft alle Windows-Versionen seit Windows 95.
Auch im Juni heißt es für Windows-Nutzer wieder Patches einspielen: Microsoft hat diesen Monat 16 Sicherheitsupdates veröffentlicht [1]. Fünf davon gelten als kritisch, darunter die Sammel-Updates für die beiden Browser Edge und Internet Explorer. Elf weitere Lücken werden von Microsoft als wichtig eingestuft. Eine dieser Lücken betrifft alle Windows-Versionen seit Windows 95 und kann dazu missbraucht werden, Windows-Nutzer auszuspionieren.
Die kumulativen Browser-Updates verdienen besondere Beachtung. Der Edge-Browser kann über manipulierte Webseiten gekapert werden [2], was es den Angreifern erlaubt, Schadcode auszuführen. Die Versionen 9 und 11 des Internet Explorers haben Sicherheitslücken mit ähnlichen Auswirkungen [3]. Beim Internet Explorer 10 ist die Lage weniger kritisch, die Patches sollten aber auch hier schnellstmöglich installiert werden.
BadTunnel
Sicherheitslücken im Windows-Modul Web Proxy Auto Discovery (WPAD) können dazu missbraucht werden, den Netzwerk-Verkehr des Opfers zu manipulieren. Microsoft schätzt die Sicherheitslücke nicht als kritisch ein, aber laut einer Meldung bei Forbes [4] können Angreifer aus dem Internet sie über Microsofts Browser ausnutzen und so den Netzwerkverkehr des Opfers über den eigenen Rechner umleiten. Der Sicherheitsforscher, der die Lücke entdeckte, nennt sie "BadTunnel" und will sie auf der Black-Hat-Konferenz in Las Vegas im August vorstellen. Seiner Aussage nach kann ein Angreifer damit Windows-Update-Downloads manipulieren oder unverschlüsselten Traffic der Opfer ausspähen.
Die Lücke wurde für alle unterstützten Windows-Versionen geschlossen, soll aber alle Windows-Versionen seit Windows 95 betreffen. Nutzern von nicht mehr unterstützten Windows-Versionen bleibt nicht anderes übrig, als NetBIOS über TCP/IP zu deaktivieren [5], um sich vor der Lücke zu schützen.
Des weiteren schließt Microsoft Lücken im DNS-Server von Windows Server 2012 und 2012 R2, in Microsoft Office, in den JScript- und VBScript-Engines von Windows sowie im Kernel und diversen Windows-Komponenten.
Kritische Updates
- MS16-063 [6] Cumulative Security Update for Internet Explorer
- MS16-068 [7] Cumulative Security Update for Microsoft Edge
- MS16-069 [8] Cumulative Security Update for JScript and VBScript
- MS16-070 [9] Security Update for Microsoft Office
- MS16-071 [10] Security Update for Microsoft Windows DNS Server
Wichtige Updates
- MS16-072 [11] Security Update for Group Policy
- MS16-073 [12] Security Update for Windows Kernel-Mode Drivers
- MS16-074 [13] Security Update for Microsoft Graphics Component
- MS16-075 [14] Security Update for Windows SMB Server
- MS16-076 [15] Security Update for Netlogon
- MS16-077 [16] Security Update for WPAD
- MS16-078 [17] Security Update for Windows Diagnostic Hub
- MS16-079 [18] Security Update for Microsoft Exchange Server
- MS16-080 [19] Security Update for Microsoft Windows PDF
- MS16-081 [20] Security Update for Active Directory
- MS16-082 [21] Security Update for Microsoft Windows Search Component
Windows-Anwender können die Sicherheitsupdates wie gewohnt über Microsoft Update installieren, wenn dies nicht bereits automatisch geschehen ist. Für Windows 10 verteilt Microsoft die Patches wie immer als kumulatives Update und behebt dabei auch einige nicht-sicherheitsrelevante Probleme. Eine Liste dieser Verbesserungen pflegt Microsoft im Windows-10-Updateverlauf [22]. (fab [23])
URL dieses Artikels:
https://www.heise.de/-3238328
Links in diesem Artikel:
[1] https://technet.microsoft.com/library/security/ms16-jun
[2] https://technet.microsoft.com/en-us/library/security/MS16-068
[3] https://technet.microsoft.com/en-us/library/security/MS16-063
[4] http://www.forbes.com/sites/thomasbrewster/2016/06/14/microsoft-badtunnel-big-brother-windows-vulnerability/
[5] https://technet.microsoft.com/en-us/library/cc940063.aspx
[6] https://technet.microsoft.com/library/security/MS16-063
[7] https://technet.microsoft.com/library/security/MS16-068
[8] https://technet.microsoft.com/library/security/MS16-069
[9] https://technet.microsoft.com/library/security/MS16-070
[10] https://technet.microsoft.com/library/security/MS16-071
[11] https://technet.microsoft.com/library/security/MS16-072
[12] https://technet.microsoft.com/library/security/MS16-073
[13] https://technet.microsoft.com/library/security/MS16-074
[14] https://technet.microsoft.com/library/security/MS16-075
[15] https://technet.microsoft.com/library/security/MS16-076
[16] https://technet.microsoft.com/library/security/MS16-077
[17] https://technet.microsoft.com/library/security/MS16-078
[18] https://technet.microsoft.com/library/security/MS16-079
[19] https://technet.microsoft.com/library/security/MS16-080
[20] https://technet.microsoft.com/library/security/MS16-081
[21] https://technet.microsoft.com/library/security/MS16-082
[22] http://windows.microsoft.com/de-de/windows-10/update-history-windows-10
[23] mailto:contact@fab.industries
Copyright © 2016 Heise Medien