zurück zum Artikel

Patchday: Microsoft schließt Zero-Day-Lücke im Internet Explorer

Fabian A. Scherschel
Microsoft Patchday

Wie jeden Monat heißt es auch im Mai für Windows-Nutzer wieder einmal: Jetzt schnell Patches einspielen! Diesmal ist es besonders dringend, denn eine im Patchday geschlossene Lücke wurde bereits vor ihrer Veröffentlichung aktiv für Angriffe missbraucht.

Microsoft hat in der Mai-Ausgabe seines allmonatlichen Patchdays insgesamt 15 verschiedene Updates herausgebracht [1]. 7 davon gelten als kritisch, da die gestopften Sicherheitslücken Angreifern erlauben, Schadcode aus der Ferne auf das System zu laden und dann auszuführen.

Besondere Aufmerksamkeit erfordert ein Update der Scripting Engine für JScript und VBScript des Internet Explorers. Hier existiert eine Lücke (CVE-2016-0189), die bereits vor der Veröffentlichung durch Microsoft von Angreifern ausgenutzt wurde – ein sogenannter Zero Day. Wie Symantec berichtet [2], sind damit gezielt Nutzer in Südkorea angegriffen worden. Anwender sollten deshalb vor allem das IE-Sammelupdate umgehend einspielen, hier besteht bereits jetzt ein sehr reales Risiko für Angriffe.

Weitere kritische Updates werden für den Edge Browser, die JScript- und VBScript-Schnittstellen in Windows selbst und Office verteilt. Andere Windows-Komponenten, unter anderem das Grafik-Modul, haben ebenfalls kritische Sicherheitslücken. Die restlichen Updates sind allesamt mit der zweithöchsten Priorität "wichtig" versehen. Hier finden sich der Microsoft-Webserver IIS, das Windows Media Center, die RPC-Schnittstelle, das .NET-Framework und der Windows Kernel.

Kritische Updates

Außerdem verteilt Microsoft noch einen Patch (MS16-064 [18]) für eine kritische Lücke in Adobe Flash [19]. Adobe hat entsprechende eigene Updates für Flash angekündigt, diese bis jetzt aber noch nicht als Teil der eigenen Patchday-Updates für Mai [20] verteilt.

Windows-Anwender können die Sicherheitsupdates wie gewohnt über Microsoft Update installieren, wenn dies nicht bereits automatisch geschehen ist. Angesichts der Fülle der kritischen Lücken und der IE-Lücke, die bereits ausgenutzt wird, sollte man damit nicht all zu lang warten. Für Windows 10 verteilt Microsoft die Patches wie immer als kumulatives Update und behebt dabei auch einige nicht-sicherheitsrelevante Probleme. Eine Liste dieser Verbesserungen pflegt Microsoft in seiner Windows 10 Update History.

Update - 11.05.2016, 11:35 Uhr

Informationen zum Flash-Patch und zu Adobes Patchday hinzugefügt. (fab [21])

URL dieses Artikels:
https://www.heise.de/-3202816

Links in diesem Artikel:
[1] https://technet.microsoft.com/library/security/ms16-may
[2] http://www.symantec.com/connect/blogs/internet-explorer-zero-day-exploit-used-targeted-attacks-south-korea
[3] http://go.microsoft.com/fwlink/?LinkId=785873
[4] http://go.microsoft.com/fwlink/?LinkId=785874
[5] http://go.microsoft.com/fwlink/?LinkId=786478
[6] http://go.microsoft.com/fwlink/?LinkId=785875
[7] http://go.microsoft.com/fwlink/?LinkId=786471
[8] http://go.microsoft.com/fwlink/?LinkId=786477
[9] http://go.microsoft.com/fwlink/?LinkId=786534
[10] http://go.microsoft.com/fwlink/?LinkId=746884
[11] http://go.microsoft.com/fwlink/?LinkId=786468
[12] http://go.microsoft.com/fwlink/?LinkId=785239
[13] http://go.microsoft.com/fwlink/?LinkId=785871
[14] http://go.microsoft.com/fwlink/?LinkId=786923
[15] http://go.microsoft.com/fwlink/?LinkId=786473
[16] http://go.microsoft.com/fwlink/?LinkId=785792
[17] http://go.microsoft.com/fwlink/?LinkId=786475
[18] https://technet.microsoft.com/library/security/MS16-064
[19] https://helpx.adobe.com/security/products/flash-player/apsa16-02.html
[20] https://www.heise.de/news/Adobe-Patchday-Fix-fuer-Flash-Zero-Day-erst-mal-nur-fuer-Windows-3203019.html
[21] mailto:contact@fab.industries

Copyright © 2016 Heise Medien