Nachrichten

Microsoft-Updates im April 2016: 13 Sicherheits-Patches und eine neue Build für Windows 10

Software | HT4U.net
Obwohl Microsoft den Patchday zum Auslaufmodell erklärt hatte, bringt der zweite Dienstag jedes Monats auch weiterhin neue Sicherheits-Updates. Im April 2016 sind es 13 Flicken, von denen 6 kritische Schwachstellen beheben. Die übrigen Updates wurden als wichtig eingestuft und kümmern sich um hochgefährliche Fehler. Insgesamt hat Microsoft diesmal 30 Probleme beseitigt. Damit widmet man sich allerdings auch nur den üblichen Windows-Systemen. Das neue Windows 10 hat am heutigen Tag ebenfalls eine neue Build erhalten!

Sechs Sicherheitslücken stecken im Internet Explorer der Versionen 9 bis 11, darunter vier kritische Speichermanipulationen, die eine Remote-Code-Ausführung ermöglichen. Dies kann man beim Internet Explorer 11 auch durch das Unterschieben manipulierter Bibliothek-Dateien (.dll) bewerkstelligen, doch diese Gefahr bewertet Microsoft nur als hoch, obwohl das Problem öffentlich dokumentiert wurde. Beim sechsten Bug geht es um die Offenlegung von Informationen, welche Microsoft als mittleres Risiko einstuft. Auch in Edge wurden sechs Schwachstellen, darunter vier kritische Speichermanipulationen, behoben. Dazu gibt es zwei Erhöhungen von Berechtigungen, die Microsoft als hohe bis mittlere Gefahr betrachtet. Keiner dieser Fehler wurde öffentlich gemeldet.

Eine kritische und drei hochgefährliche Lücken stecken in der Grafikkomponente aller Windows-Versionen von Vista bis 10 inklusive aller Server und der Core-Installationen. Während sich der kritische Fehler als Einfallstor für Schadprogramme anbietet, ermöglichen die drei anderen Probleme das Ausweiten von Berechtigungen. Zumindest zwei dieser Schwachstellen werden bereits ausgenutzt. Neben Windows sind auch das .NET-Framework, Skype für Business 2016 sowie Microsoft Lync 2013 und 2010 betroffen. Ein anderes kritisches Problem wurde in den XML-Core-Services behoben, auch dieses betrifft alle Windows-Versionen bis hin zu Servern in der Core-Installation. Glücklicherweise wurde dieser Weg zur Remote-Code-Ausführung noch nicht öffentlich dokumentiert oder ausgenutzt.

Vier Sicherheitslücken wurden in Office 2007, 2010, 2013, 2013 RT und 2016, Office für Mac 2011 und 2016, dem Office Compatibility Pack sowie den Dateibetrachtern für Excel- und Word-Dokumente entdeckt, zwei davon betreffen zudem die SharePoint Server 2007, 2010 und 2013 sowie die Office Web Apps 2010 und 2013. In allen Fällen besteht die Gefahr, dass Schadcode eingeschleust und ausgeführt wird, doch nur bei einem der Fehler sieht Microsoft kritisches Potenzial. Öffentlich gemeldet oder angegriffen wurden diese vier Schwachstellen noch nicht. Auch Adobes Flash Player, der zum Lieferumfang von Windows 8.1, RT 8.1 und 10 sowie der Server 2012 und 2012 R2 gehört, wurde aktualisiert. Adobe hatte in diesem Zusammenhang 24 Sicherheitslücken genannt.

Kommen wir nun zu den Flicken, die sich um hochgefährliche Probleme kümmern: Da wäre eine Sicherheitsanfälligkeit im .NET-Framework der Versionen 4.6 und 4.6.1, die bei der Ausführung einer bösartigen Anwendung zum Einfallstor für Schadprogramme wird. Dieses Problem wurde bereits öffentlich dokumentiert. Auch aufgrund einer unzureichenden Überprüfung von OLE-Benutzereingaben kann Schadsoftware auf alle Windows-Rechner gelangen, die Details hierzu sind aber noch unter Verschluss. Gleiches gilt für eine Schwachstelle in Hyper-V, über die Anwendungen im Gastsystem dem Host Schadcode unterschieben können. Zwei weitere Fehler in Hyper-V legen Informationen offen, betroffen sind Windows 8.1 und 10 sowie die Server 2012 und 2012 R2 inklusive der Core-Installationen.

Über eine öffentlich gemeldete Sicherheitslücke im sekundären Anmeldedienst kann ein Angreifer beliebigen Code als Administrator ausführen und über einen Bug in HTTP.sys einen DoS-Angriff (Denial of Service) starten. Beide Probleme sind auf Windows 10 beschränkt. Mit Hilfe eines intern gefundenen Fehlers in den SAM- und LSAD-Remote-Protokollen kann ein Mittelsmann die Herabstufung der Authentifizierungsebene des RPC-Kanals erzwingen, um dann die Identität des authentifizierten Benutzers anzunehmen. Dieses Problem betrifft alle Versionen von Windows inklusive der Server und Core-Installationen. Eine weitere Schwachstelle ermöglicht das Umgehen von Sicherheitsfunktionen durch angemeldete Benutzer, die das Prozess-Token des Client-/Server-Runtime-Subsystems (CSRSS) manipulieren. Betroffen sind Windows 8.1, RT 8.1 und 10 sowie die Server 2012 und 2012 R2 mitsamt der Core-Installationen.

Windows-10-Update

Zu guter Letzt erhält dann heute auch Windows 10 noch ein Update auf die Build 10586.218 und nähert sich damit abermals dem geplanten großen Update einen Schritt, geplant für den Sommer 2016. Die Änderungen sind vielfältig, befassen sich vorrangig aber mit Fehlerbeseitigungen und einigen Überarbeitungen. Zu ersteren Punkten zählen beispielsweise Änderungen bei Installation und Konfiguration oder der Reaktivierung nach einem Ruhezustand. Zu dem letztgenannten Punkt zählen unter anderem Verbesserungen der Energieaufnahme im Stand-by-Betrieb, Änderungen bei Cortana, erweiterte Unterstützung von Geräten wie Displays und Druckern oder verbesserter Support bei Grafikkarten oder beispielsweise für Schriftarten. Alle Änderungen, welche mit dem neuen Windows-10-Update einhergehen, können hier nachgelesen werden.

Autor: mid & pg
[]







Stichworte zur Meldung: Ein Und Sicherheitsupdates 13 2016: April Im Microsoft-updates Neues Build Windows