Nachrichten

Patch-Day für PCs: Updates von Adobe, Oracle und Microsoft bringen mehr Sicherheit

Internet | HT4U.net
Nachdem wir die letzten Tage über einige entstandene Sicherheitslücken berichten mussten, dürfen wir heute einen wahren PC-Patch-Day verkünden. Adobe hat Updates für den Flash Player und Shockwave zur Verfügung gestellt. Oracle liefert Patches für Java und Konsorten. Und bei Microsoft gibt es dann ebenfalls 14 Sicherheits-Updates, die den PC sicherer machen sollen.

Adobe

Ob bei Adobe die kürzlich angesprochenen neuerlichen Probleme nun ebenfalls beseitigt sind, ist noch nicht ganz klar. Auf Grund der aktuellen Sicherheitsrisiken ging Mozilla gar so weit, mögliche verdächtige Webseiten mit Flash-Inhalten zu blockieren. Seit den neuen Updates funktionieren diese allerdings wieder. Die Updates für Adobe Shockwave finden sich hier.

Oracle

Oracle hat am gestrigen Abend neue Sicherheits-Updates veröffentlicht, die zusammen 193 Schwachstellen in diversen Produkten beseitigen. Die gefährlichsten Fehler stecken diesmal in Java, der Sun Systems Products Suite und Oracles Industry Applications – gleich 13 Mal musste die höchste Risikostufe 10,0 vergeben werden. 99 Schwachstellen lassen sich ohne Authentifizierung aus dem Internet angreifen, weshalb man die Updates unverzüglich einspielen sollte.

In Java SE finden sich diesmal zwar nicht die meisten Sicherheitslücken, dafür aber die schwersten. Von den 25 Fehlern wurden 7 in die höchste Risikokategorie 10,0 eingeordnet, ein weiterer wurde mit 9,3 bewertet. 23 dieser Schwachstellen lassen sich von außen ohne Zugangsdaten angreifen. Es folgt die Sun Systems Products Suite mit fünf Sicherheitsproblemen der Stufe 10,0. Insgesamt wurden in diesem Software-Paket 21 neue Lücken entdeckt, von denen 10 ohne Authentifizierung ausgenutzt werden können. Oracles Industry Applications weisen zwar nur zwei Schwachstellen auf, doch beide lassen sich von außen ohne Zugangsdaten angreifen und eine wurde mit 10,0 bewertet. Von den fünf Fehlern, welche Siebel CRM betreffen, stehen drei nach außen offen, und einem wurde die zweithöchste Risikostufe 9,3 zugewiesen. Bleibt noch eine Sicherheitslücke der Kategorie 9,0 im Oracle Database Server. In diesem wurden zehn Angriffspunkte entdeckt; ohne Authentifizierung lassen sich aber nur zwei attackieren.

In den folgenden Produkten wurden Sicherheitslücken bis zur Risikostufe 7,8 behoben. In den Klammern geben wir jeweils an, wie viele der Fehler sich ohne Authentifizierung aus dem Internet angreifen lassen: Oracle Linux and Virtualization: 11 (8), Oracle PeopleSoft Products: 8 (4), Oracle Fusion Middleware: 39 (36), Oracle Hyperion: 4 (1), Oracle Supply Chain Products Suite: 7 (1), Oracle Berkeley DB: 25 (0), Oracle MySQL: 18 (0), Oracle Commerce Platform: 2 (2), Oracle Enterprise Manager Grid Control: 3 (2) und Oracle Applications: 13 (5).

Microsoft Patch-Day

Auch wenn Microsoft den Patch-Day zum Auslaufmodell erklärt hat, gab es am gestrigen Dienstag noch mal 14 frische Sicherheitsflicken für Windows und die hauseigene Software. Vier der Patches kümmern sich um kritische Fehler, die übrigen Updates hat Microsoft als wichtig eingestuft. Insgesamt geht es um 58 Schwachstellen, betroffen sind alle Versionen von Windows, der Internet Explorer 6 bis 11, Office 2007, 2010 und 2013, Excel für Mac 2011 sowie die SQL-Server 2008 bis 2014.

Alleine im Internet Explorer der Versionen 6 bis 11 wurden 29 Sicherheitslücken gestopft, die für Windows Vista, 7, 8 und 8.1 sowie für die RT-Varianten eine kritische Gefahr darstellen. Für die Server 2003 bis 2012 ist das Risiko nur mittelschwer. Bei 19 dieser Schwachstellen handelt es sich um Speichermanipulationen, die sich zum Einschleusen von Schadcode eignen, und eine davon (CVE-2015-2425) wird bereits angegriffen. Auch über VBScript und JScript9 lassen sich Speicherinhalte manipulieren, dazu kommen eine Rechteausweitung sowie Fehler, mit denen sich Sicherheitsvorkehrungen wie die Speicherwürfelung (Address Space Layout Randomization) und der XSS-Filter umgehen lassen. Die Schwachstelle in VBScript (CVE-2015-2372) führt Microsoft zudem noch einmal separat als kritischen Fehler für Windows Vista sowie die Server 2003, 2008 und Server 2008 R2 auf.

Das "Remote Desktop Protocol" (RDP) der 32-Bit-Versionen von Windows 7 und 8 lässt sich mit speziell gestalteten Paketen überlisten und führt dann Schadcode aus. Bleibt noch ein kritisches Update, das sich um zwei Fehler in der Virtualisierungstechnik Hyper-V kümmert. Diese ermöglichen Benutzern, welche auf dem Gastsystem angemeldet sind, das Ausführen beliebigen Codes. Betroffen sind Windows 8 und 8.1 sowie die Server 2008, 2008 R2, 2012 und 2012 R2. Drei als hochgradig gefährlich eingestufte Schwachstellen stecken in den SQL-Servern der Versionen 2008, 2008 R2, 2012 und 2014, sie können von einem authentifizierten Benutzer über speziell gestaltete Abfragen ausgelöst werden. Während einer der Fehler eine Rechteausweitung darstellt, ermöglichen die beiden anderen das Einschleusen von Schadcode.

Es gibt auch wieder einen Angriff über untergeschobene Bibliotheken (DLL-Dateien), der mit Hilfe von RTF-Dokumenten ausgelöst wird und auf Windows Vista, 7 und 8.1, Windows RT 8.1 sowie die Server 2003, 2008, 2008 R2 und 2012 R2 abzielt. Im Erfolgsfall wird Schadcode eingeschleust und ausgeführt. Doch auch andere Office-Dateien können als Einfallstor dienen, wie acht Sicherheitslücken in Office 2007, 2010 und 2013, Excel für Mac 2011 sowie den Excel-Diensten auf den SharePoint-Servern 2007, 2010 und 2013 belegen. Bei sechs der acht Fehler handelt es sich um Speichermanipulationen, mit einem lässt sich die Speicherwürfelung austricksen, und dann gibt es noch eine DLL-Schwachstelle. Für einen der Speicherfehler (CVE-2015-2424) existiert bereits ein funktionierender Exploit.

Ein Angreifer, der Zugang zum "Primären Domain Controller" (PDC) seines Zielnetzwerks hat, kann eine sichere Verbindung als "Backup Domain Controller" (BDC) aufbauen und dabei kritische Daten abgreifen. Dies funktioniert aufgrund einer Rechteausweitung mit allen Server-Versionen von 2003 bis 2012 R2. Weitere Rechteausweitungen stecken in der Grafikkomponente, dem Installationsdienst, Object Linking and Embedding (OLE), Remote Procedure Call (RPC), dem Treiber für ATM-Schriften und den Kernel-Modus-Treibern aller Windows-Varianten. Zudem lassen sich über die Kernel-Modus-Treiber auch Informationen abgreifen.

Autor: mid
[]







Stichworte zur Meldung: Shockwave Player Flash Adobe Microsoft Updates Patch-day Oracle Java