Nachrichten

Patchday mit 63 Sicherheits-Updates

Microsoft liefert Updates für kritische Sicherheitslücken aus

Software | HT4U.net
Obwohl Microsoft den Patchday zum Auslaufmodell erklärt hatte, bringt der zweite Dienstag jedes Monats auch weiterhin neue Sicherheits-Updates. Im Dezember 2016 sind es zwölf neue Flicken, von denen die Hälfte kritische Schwachstellen behebt. Neue 0-Day-Lücken, die bereits angegriffen werden, gibt es bei Microsoft zwar nicht, aber sehr wohl beim Flash Player, der zum Lieferumfang von Windows gehört.

Insgesamt wurden diesmal 63 Sicherheitslücken gestopft. 46 Fehler stecken in Microsofts eigenen Produkten, die übrigen 17 finden sich in Adobes Flash Player. Wie Adobe berichtet, wird eine der Schwachstellen (CVE-2016-7892) bereits angegriffen. Bisher richten sich die Attacken gegen den Internet Explorer sowie 32-Bit-Versionen von Windows. Der Flash Player wird von Microsoft für die Webbrowser Internet Explorer und Edge verwendet.

Hier nun die behobenen Sicherheitslücken in einer kurzen Zusammenfassung:
  • 15 Mal hat der Fehlerteufel in Office zugeschlagen. Es wurden vier Speicherbeschädigungen, sieben Datenlecks, drei Möglichkeiten zur Umgehung von Sicherheitsfunktionen und ein DLL-Problem behoben. Letzteres ermöglicht das Einschleusen von Schadcode, indem man Office manipulierte Bibliotheken unterschiebt. Keiner der Fehler wurde bisher veröffentlicht oder angegriffen, doch bei den Sicherheitsumgehungen, dem DLL-Problem und einer der Speichermanipulationen geht man in Redmond von baldigen Angriffen aus.

  • 11 Sicherheitslücken wurden in Edge entdeckt, darunter sieben Speichermanipulationen, drei Offenlegungen von Informationen und eine Umgehung von Sicherheitsfunktionen. Zwei der Datenlecks wurden bereits von Dritten veröffentlicht, ebenso die Umgehung der Herkunftsprüfung für Skripte, welche innerhalb eines Web-Workers laufen (CVE-2016-7281). Das größte Risiko sieht Microsoft jedoch in sechs Speicherbeschädigungen und hält Angriffe für wahrscheinlich.

  • 8 Schwachstellen betreffen den Internet Explorer, es handelt sich um vier Speicherbeschädigungen, drei Datenlecks und eine Umgehung von Sicherheitsfunktionen. Ein Datenleck (CVE-2016-7282), die Umgehung der Herkunftsprüfung für Skripte, die innerhalb eines Web-Workers laufen (CVE-2016-7281) und eine Speichermanipulation in der Scripting-Engine (CVE-2016-7202) wurden öffentlich dokumentiert. Microsoft hält Angriffe auf die vier Speicherbeschädigungen für wahrscheinlich, bisher sind aber noch keine bekannt.

  • 4 Fehler rotieren rund um den Windows-Kernel: Zwei Rechteausweitungen im Kernelmodustreiber aller Windows-Versionen inklusive der Server nebst Core-Installationen, eine Rechteausweitung im sicheren Kernelmodus von Windows 10 und Server 2016, welche lokal angemeldeten Benutzern eine Verletzung der "Virtual Trust Levels" (VTL) ermöglicht sowie eine Offenlegung von Adressinformationen im Kernelspeicher von Windows 10 und Server 2016. Keine dieser Lücken wurde bisher offengelegt oder angegriffen, und eine Ausnutzung ist weniger wahrscheinlich bis unwahrscheinlich.

  • 3 Fehler stecken in der Grafikkomponente, es handelt sich um zwei Remote-Code-Ausführungen und einen Zugriff auf Speicherinhalte. Bisher wurde noch keine dieser Schwachstellen öffentlich dokumentiert oder angegriffen, doch die beiden Lücken, über die sich Schadcode einschleusen lässt, stellen ein äußerst attraktives Ziel dar.

  • 2 Sicherheitsanfälligkeiten stecken im Verschlüsselungstreiber (Offenlegung von Informationen) und im Installer (Rechteerweiterung) von Windows. Auch hier erwartet Microsoft Angriffe auf die Schwachstellen, wobei noch keine von beiden öffentlich dokumentiert wurde.

  • 1 Bug in Uniscribe ermöglicht das Einschleusen von Schadcode. Dieses kritische Problem betrifft alle Versionen von Windows inklusive der Server mitsamt den Core-Installationen. Obwohl der Fehler noch nicht öffentlich dokumentiert wurde, hält Microsoft zukünftige Angriffe für wahrscheinlich.

  • 1 Sicherheitsanfälligkeit im Windows-Treiber des gemeinsamen Protokolldateisystems ermöglicht die Offenlegung von Adressinformationen.

  • 1 öffentlich gemeldete Schwachstelle im .NET-Framework ermöglicht eine Offenlegung von Informationen (CVE-2016-7270).

Da sich unter den 63 behobenen Sicherheitsanfälligkeiten auch eine 0-Day-Lücke findet, sollte man die Updates zeitnah einspielen.

Autor: mid
[]







Stichworte zur Meldung: Patchday Aus Kritische Updates Liefert Microsoft Mit 12 Sicherheits-updates