Patchday: Microsoft schließt Zero-Day-Lücke in Windows
Es gibt aktuelle Sicherheitsupdates für Windows & Co. Eine Lücke nutzen Angreifer derzeit aus.
An diesem Patchday kümmert sich Microsoft um über 60 Sicherheitslücken und stellt Patches für Office und Windows zum Download bereit. 17 Schwachstellen sind als kritisch eingestuft. Eine Windows-Lücke nutzen Angreifer derzeit aktiv aus. Wer Software von Microsoft nutzt, sollte sicherstellen, dass Windows Update den Computer mit Patches versorgt. In der Standardeinstellung geschieht dies automatisch.
Die ausgenutzte Schwachstelle findet sich in der Windows-Aufgabenplanung im Interface von Advanced Local Procedure Call (ALPC). Dort setzen derzeit Angreifer weltweit an, um sich höhere Rechte zu erschleichen und Computer zu übernehmen. Damit so ein Übergriff klappt, muss ein Angreifer aber bereits Zugriff auf einen Computer haben. Nun gibt es ein Sicherheitsupdate für die Lücke mit der Kennung CVE-2018-8440. Dieses Update stuft Microsot aber nicht als "kritisch" sondern nur als "wichtig" ein.
Weitere gefährliche Schwachstellen
Weitere kritische Lücken hat Microsoft in beispielsweise Edge, Office und verschiedenen Windows-Komponenten wie Hyper-V geschlossen. Microsofts Webbrowser Edge und Internet Explorer sind vor allem für Speicherfehler anfällig. Dabei genügt der Besuch einer von einem Angreifer vorbereiteten Webseite, damit er Schadcode auf Computern ausführen und diese übernehmen kann.
Schadcode könnten Angreifer auch über Schwachstellen im PDF Reader von Edge und Hyper-V auf anvisierte Computer bringen. Das jüngst veröffentlichte Flash-Update installiert sich unter Windows 8.1 und 10 für Edge und Internet Explorer 11 automatisch.
Weitere Infos zu den Sicherheitslücken und Patches findet man im Security Update Guide von Microsoft. Dort ist es jedoch äußert unübersichtlich. Eine bessere Auflistung findet man beispielsweise bei Bleepingcomputer. (des)