Patchday: Microsoft schließt Zero-Day-Lücken in Windows & Co.
Wie angekündigt, kümmert sich Microsoft unter anderem um im Fokus von Angreifern befindliche Zero-Day-Lücken. Außderdem stehen Patches für weitere kritische Schwachstellen bereit.
An diesem Patchday stellt Microsoft vierzehn Sicherheitsupdates bereit [1], die insgesamt 68 Schwachstellen in Edge, Internet Explorer, Office, SQL Server und Windows (Client und Server) schließen. Sechs Sicherheitsupdates sind als kritisch eingestuft und die restlichen acht als wichtig.
Unter den Schwachstellen befinden sich zwei Zero-Day-Lücken, die Angreifer derzeit aktiv ausnutzen. Setzen Angreifer bei der Lücke mit der Kennung CVE-2016-7255 [2] an, sollen sie sich lokal höhere Rechte erschleichen können, um so aus der Sandbox eines Webbrowsers auszubrechen. Ausgangspunkt soll dabei ein bestimmter Systemaufruf über win32k.sys sein. Googles Chrome und Microsofts Edge sollen dafür nicht anfällig sein. Zudem funktioniere ein Übergriff nur in Kombination mit einer kürzlich geschlossenen Flash-Lücke [3], erläutert Microsoft in einer Ankündigung für den Fix [4]. Das Sicherheitsupdate stuft Microsoft als wichtig ein.
Die zweite unter Attacken stehende Lücke klafft in der Schriften-Bibliothek von Windows und gilt als kritisch. Bringt ein Angreifer ein Opfer dazu etwa eine Webseite mit einer präparierten Schriftart zu besuchen, kann er unter gewissen Umständen Code ausführen und Computer übernehmen.
Weitere kritische Lücken
Auch in Edge klafft eine als kritisch eingestufte Schwachstelle. Für einen erfolgreichen Übergriff muss ein Angreifer Opfer auf eine manipulierte Webseite locken. Anschließend soll er sich die Rechte des jeweiligen Nutzers erschleichen können.
Die letzten beiden kritischen Lücken klaffen in verschiedenen Windows-Versionen. Für einen erfolgreichen Angriff muss ein Opfer jedoch eine spezielle Anwendung ausführen, damit ein Angreifer Code aus der Ferne ausführen kann.
Die Sicherheitsupdates für die verbleibenden Lücken stuft Microsoft als wichtig ein und empfiehlt ein zügiges Installieren. Nutzen Angreifer diese Lücken in Internet Explorer, Microsofts SQL Server, Office und Windows aus, kann es unter gewissen Voraussetzungen zu Remote Code Execution kommen oder Angreifer können sich höhere Rechten erschleichen.
Neue Info-Plattform für Lücken
Bisher hat Microsoft Informationen zu Sicherheitslücken ausschließlich über die Security-Bulletin-Webseite [5] publiziert. Ab sofort kann man sich auch über den kürzlich gestarteten Security Updates Guide [6] informieren. Dort findet man unter anderem auch die Einstufung des Schweregrades einer Schwachstelle durch den CVSS Score. Zudem soll es möglich sein, über die RESTful-API Update-Informationen automatisch erfassen zu können. Dieser neue Service soll die Security Bulletins nach dem 10 Januar 2017 ersetzen.
- MS16-129 [7] Cumulative Security Update for Microsoft Edge (3199057)
- MS16-130 [8] Security Update for Microsoft Windows (3199172)
- MS16-131 [9] Security Update for Microsoft Video Control (3199151)
- MS16-132 [10] Security Update for Microsoft Graphics Component (3199120) (aktive Angriffe)
- MS16-133 [11] Security Update for Microsoft Office (3199168)
- MS16-134 [12] Security Update for Common Log File System Driver (3193706)
- MS16-135 [13] Security Update for Windows Kernel-Mode Drivers (3199135) (aktive Angriffe)
- MS16-136 [14] Security Update for SQL Server (3199641)
- MS16-137 [15] Security Update for Windows Authentication Methods (3199173)
- MS16-138 [16] Security Update to Microsoft Virtual Hard Disk Driver (3199647)
- MS16-139 [17] Security Update for Windows Kernel (3199720)
- MS16-140 [18] Security Update for Boot Manager (3193479)
- MS16-141 [19] Security Update for Adobe Flash Player (3202790)
- MS16-142 [20] Cumulative Security Update for Internet Explorer (3198467)
(des [21])
URL dieses Artikels:
https://www.heise.de/-3461137
Links in diesem Artikel:
[1] https://technet.microsoft.com/library/security/ms16-nov
[2] https://www.heise.de/news/Google-warnt-vor-Angriffen-auf-bisher-ungepatchte-Luecke-in-Windows-3450383.html
[3] https://www.heise.de/news/Notfall-Patch-fuer-Adobe-Flash-3361775.html
[4] https://www.heise.de/news/Sicherheits-Patch-fuer-Zero-Day-Luecke-in-Windows-in-Sicht-3454255.html
[5] https://technet.microsoft.com/de-de/security/bulletins.aspx
[6] https://portal.msrc.microsoft.com/de-de/
[7] https://go.microsoft.com/fwlink/?linkid=830431
[8] https://go.microsoft.com/fwlink/?linkid=833191
[9] https://go.microsoft.com/fwlink/?linkid=833189
[10] https://go.microsoft.com/fwlink/?linkid=830425
[11] https://go.microsoft.com/fwlink/?linkid=833188
[12] http://go.microsoft.com/fwlink/?LinkId=828018
[13] https://go.microsoft.com/fwlink/?linkid=830428
[14] https://go.microsoft.com/fwlink/?linkid=830963
[15] https://go.microsoft.com/fwlink/?linkid=833192
[16] https://go.microsoft.com/fwlink/?linkid=830965
[17] https://go.microsoft.com/fwlink/?linkid=830430
[18] http://go.microsoft.com/fwlink/?LinkId=827857
[19] https://go.microsoft.com/fwlink/?linkid=834404
[20] https://go.microsoft.com/fwlink/?linkid=830372
[21] mailto:des@heise.de
Copyright © 2016 Heise Medien