Patchday: Microsoft lässt über 120 Sicherheitsupdates auf Windows & Co. los
Wer Betriebssysteme und Software von Microsoft nutzt, sollte sicherstellen, dass die aktuellen Updates installiert sind.
Es gibt wichtige Sicherheitsupdates für Azure DevOps, Defender, Dynamics, Edge, Internet Explorer, Office und verschiedene Windows-Versionen. In einigen Fällen könnten erfolgreiche Attacken zur vollständigen Kompromittierung von Computern führen.
Microsoft gibt an, bis zum jetzigen Zeitpunkt keine Attacken beobachtet zu haben. Nichtsdestotrotz sollte man sicherstellen, dass Windows Update aktiv ist und die aktuellen Sicherheitspatches installiert sind.
Kritische Lücken
Insgesamt stuft Microsoft elf Lücken als "kritisch" ein. Knapp 120 Updates sind als "wichtig" markiert. Als besonders gefährlich gilt beispielsweise eine Schwachstelle (CVE-2020-1248) im Graphics Device Interface (GDI) von Windows 10 und in aktuellen Windows-Server-Versionen. Bringt ein Angreifer ein Opfer dazu eine präparierte Website zu besuchen oder eine manipulierte Datei zu öffnen, kommt es zu Fehlern bei der Verarbeitung im Speicher. Klappt eine Attacke, kann ein Angreifer die volle Kontrolle über das Betriebssystem erlangen.
Eine kritische Lücke (CVE-2020-1281) in OLE gefährdet Windows 7, 8.1, 10 und mehrere Windows-Server-Ausgaben. Mithilfe von Object Linking and Embedding (OLE) erstellt man Verbundokumente. Damit bringt man zum Beispiel ein Textdokument mit einer Tabelle aus einer anderen Anwendung zusammen. Für eine erfolgreiche Attacke muss ein Opfer aber mitspielen und eine von einem Angreifer vorbereitete Datei öffnen.
Setzen Angreifer an mehreren kritischen Schwachstellen in Microsofts Visual Basic Script (VBScript) an, könnten sie Schadcode aus der Ferne ausführen. Der Besuch einer von einem Angreifer kontrollierten Website leitet eine Attacke ein. Klappt alles, steht ein Angreifer mit den Rechten des Opfers dar. Erlangt er so Admin-Rechte, steht einer vollständigen Übernahme des Computers nichts mehr im Wege.
Weitere Lücken
Durch das Ausnutzen der weiteren Schwachstellen könnten Angreifer sich höhere Rechte erschleichen, Anwendungen abstürzen lassen und in einigen Fällen Schadcode ausführen. Außerdem hat Microsoft noch mehrere Ende Mai öffentlich bekannt gewordene Sicherheitslücken geschlossen.
Weiterführende Infos zu allen Schwachstellen listet Microsoft im Security Update Guide auf. Im Blog der Zero Day Initiative von Trend Micro findet man eine übersichtlichere Auflistung. (des)