Patchday: Microsoft schließt Zero-Day-Lücken in Windows & Co.
Wie angekündigt, kümmert sich Microsoft unter anderem um im Fokus von Angreifern befindliche Zero-Day-Lücken. Außderdem stehen Patches für weitere kritische Schwachstellen bereit.
An diesem Patchday stellt Microsoft vierzehn Sicherheitsupdates bereit, die insgesamt 68 Schwachstellen in Edge, Internet Explorer, Office, SQL Server und Windows (Client und Server) schließen. Sechs Sicherheitsupdates sind als kritisch eingestuft und die restlichen acht als wichtig.
Unter den Schwachstellen befinden sich zwei Zero-Day-Lücken, die Angreifer derzeit aktiv ausnutzen. Setzen Angreifer bei der Lücke mit der Kennung CVE-2016-7255 an, sollen sie sich lokal höhere Rechte erschleichen können, um so aus der Sandbox eines Webbrowsers auszubrechen. Ausgangspunkt soll dabei ein bestimmter Systemaufruf über win32k.sys sein. Googles Chrome und Microsofts Edge sollen dafür nicht anfällig sein. Zudem funktioniere ein Übergriff nur in Kombination mit einer kürzlich geschlossenen Flash-Lücke, erläutert Microsoft in einer Ankündigung für den Fix. Das Sicherheitsupdate stuft Microsoft als wichtig ein.
Die zweite unter Attacken stehende Lücke klafft in der Schriften-Bibliothek von Windows und gilt als kritisch. Bringt ein Angreifer ein Opfer dazu etwa eine Webseite mit einer präparierten Schriftart zu besuchen, kann er unter gewissen Umständen Code ausführen und Computer übernehmen.
Weitere kritische Lücken
Auch in Edge klafft eine als kritisch eingestufte Schwachstelle. Für einen erfolgreichen Übergriff muss ein Angreifer Opfer auf eine manipulierte Webseite locken. Anschließend soll er sich die Rechte des jeweiligen Nutzers erschleichen können.
Die letzten beiden kritischen Lücken klaffen in verschiedenen Windows-Versionen. Für einen erfolgreichen Angriff muss ein Opfer jedoch eine spezielle Anwendung ausführen, damit ein Angreifer Code aus der Ferne ausführen kann.
Die Sicherheitsupdates für die verbleibenden Lücken stuft Microsoft als wichtig ein und empfiehlt ein zügiges Installieren. Nutzen Angreifer diese Lücken in Internet Explorer, Microsofts SQL Server, Office und Windows aus, kann es unter gewissen Voraussetzungen zu Remote Code Execution kommen oder Angreifer können sich höhere Rechten erschleichen.
Neue Info-Plattform für Lücken
Bisher hat Microsoft Informationen zu Sicherheitslücken ausschließlich über die Security-Bulletin-Webseite publiziert. Ab sofort kann man sich auch über den kürzlich gestarteten Security Updates Guide informieren. Dort findet man unter anderem auch die Einstufung des Schweregrades einer Schwachstelle durch den CVSS Score. Zudem soll es möglich sein, über die RESTful-API Update-Informationen automatisch erfassen zu können. Dieser neue Service soll die Security Bulletins nach dem 10 Januar 2017 ersetzen.
- MS16-129 Cumulative Security Update for Microsoft Edge (3199057)
- MS16-130 Security Update for Microsoft Windows (3199172)
- MS16-131 Security Update for Microsoft Video Control (3199151)
- MS16-132 Security Update for Microsoft Graphics Component (3199120) (aktive Angriffe)
- MS16-133 Security Update for Microsoft Office (3199168)
- MS16-134 Security Update for Common Log File System Driver (3193706)
- MS16-135 Security Update for Windows Kernel-Mode Drivers (3199135) (aktive Angriffe)
- MS16-136 Security Update for SQL Server (3199641)
- MS16-137 Security Update for Windows Authentication Methods (3199173)
- MS16-138 Security Update to Microsoft Virtual Hard Disk Driver (3199647)
- MS16-139 Security Update for Windows Kernel (3199720)
- MS16-140 Security Update for Boot Manager (3193479)
- MS16-141 Security Update for Adobe Flash Player (3202790)
- MS16-142 Cumulative Security Update for Internet Explorer (3198467)
(des)