Patchday: Microsoft schließt Zero-Day-Lücke im Internet Explorer
Wie jeden Monat heißt es auch im Mai für Windows-Nutzer wieder einmal: Jetzt schnell Patches einspielen! Diesmal ist es besonders dringend, denn eine im Patchday geschlossene Lücke wurde bereits vor ihrer Veröffentlichung aktiv für Angriffe missbraucht.
Microsoft hat in der Mai-Ausgabe seines allmonatlichen Patchdays insgesamt 15 verschiedene Updates herausgebracht [1]. 7 davon gelten als kritisch, da die gestopften Sicherheitslücken Angreifern erlauben, Schadcode aus der Ferne auf das System zu laden und dann auszuführen.
Besondere Aufmerksamkeit erfordert ein Update der Scripting Engine für JScript und VBScript des Internet Explorers. Hier existiert eine Lücke (CVE-2016-0189), die bereits vor der Veröffentlichung durch Microsoft von Angreifern ausgenutzt wurde – ein sogenannter Zero Day. Wie Symantec berichtet [2], sind damit gezielt Nutzer in Südkorea angegriffen worden. Anwender sollten deshalb vor allem das IE-Sammelupdate umgehend einspielen, hier besteht bereits jetzt ein sehr reales Risiko für Angriffe.
Weitere kritische Updates werden für den Edge Browser, die JScript- und VBScript-Schnittstellen in Windows selbst und Office verteilt. Andere Windows-Komponenten, unter anderem das Grafik-Modul, haben ebenfalls kritische Sicherheitslücken. Die restlichen Updates sind allesamt mit der zweithöchsten Priorität "wichtig" versehen. Hier finden sich der Microsoft-Webserver IIS, das Windows Media Center, die RPC-Schnittstelle, das .NET-Framework und der Windows Kernel.
Kritische Updates
- MS16-051 [3] Cumulative Security Update for Internet Explorer
- MS16-052 [4] Cumulative Security Update for Microsoft Edge
- MS16-053 [5] Cumulative Security Update for JScript and VBScript
- MS16-054 [6] Security Update for Microsoft Office
- MS16-055 [7] Security Update for Microsoft Graphics Component
- MS16-056 [8] Security Update for Windows Journal
- MS16-057 [9] Security Update for Windows Shell
Wichtige Updates
- MS16-058 [10] Security Update for Windows IIS
- MS16-059 [11] Security Update for Windows Media Center
- MS16-060 [12] Security Update for Windows Kernel
- MS16-061 [13] Security Update for Microsoft RPC
- MS16-062 [14] Security Update for Windows Kernel-Mode Drivers
- MS16-065 [15] Security Update for .NET Framework
- MS16-066 [16] Security Update for Virtual Secure Mode
- MS16-067 [17] Security Update for Volume Manager Driver
Außerdem verteilt Microsoft noch einen Patch (MS16-064 [18]) für eine kritische Lücke in Adobe Flash [19]. Adobe hat entsprechende eigene Updates für Flash angekündigt, diese bis jetzt aber noch nicht als Teil der eigenen Patchday-Updates für Mai [20] verteilt.
Windows-Anwender können die Sicherheitsupdates wie gewohnt über Microsoft Update installieren, wenn dies nicht bereits automatisch geschehen ist. Angesichts der Fülle der kritischen Lücken und der IE-Lücke, die bereits ausgenutzt wird, sollte man damit nicht all zu lang warten. Für Windows 10 verteilt Microsoft die Patches wie immer als kumulatives Update und behebt dabei auch einige nicht-sicherheitsrelevante Probleme. Eine Liste dieser Verbesserungen pflegt Microsoft in seiner Windows 10 Update History.
Update - 11.05.2016, 11:35 Uhr
Informationen zum Flash-Patch und zu Adobes Patchday hinzugefügt. (fab [21])
URL dieses Artikels:
https://www.heise.de/-3202816
Links in diesem Artikel:
[1] https://technet.microsoft.com/library/security/ms16-may
[2] http://www.symantec.com/connect/blogs/internet-explorer-zero-day-exploit-used-targeted-attacks-south-korea
[3] http://go.microsoft.com/fwlink/?LinkId=785873
[4] http://go.microsoft.com/fwlink/?LinkId=785874
[5] http://go.microsoft.com/fwlink/?LinkId=786478
[6] http://go.microsoft.com/fwlink/?LinkId=785875
[7] http://go.microsoft.com/fwlink/?LinkId=786471
[8] http://go.microsoft.com/fwlink/?LinkId=786477
[9] http://go.microsoft.com/fwlink/?LinkId=786534
[10] http://go.microsoft.com/fwlink/?LinkId=746884
[11] http://go.microsoft.com/fwlink/?LinkId=786468
[12] http://go.microsoft.com/fwlink/?LinkId=785239
[13] http://go.microsoft.com/fwlink/?LinkId=785871
[14] http://go.microsoft.com/fwlink/?LinkId=786923
[15] http://go.microsoft.com/fwlink/?LinkId=786473
[16] http://go.microsoft.com/fwlink/?LinkId=785792
[17] http://go.microsoft.com/fwlink/?LinkId=786475
[18] https://technet.microsoft.com/library/security/MS16-064
[19] https://helpx.adobe.com/security/products/flash-player/apsa16-02.html
[20] https://www.heise.de/news/Adobe-Patchday-Fix-fuer-Flash-Zero-Day-erst-mal-nur-fuer-Windows-3203019.html
[21] mailto:contact@fab.industries
Copyright © 2016 Heise Medien