Nachrichten

Patchday für Februar und März 2017

Neue Microsoft-Updates beheben insgesamt 140 Schwachstellen und 8 kritische Fehler

Software | HT4U.net
Aufgrund eines Last-Minute-Fehlers hatte Microsoft den Februar-Patchday zunächst abgesagt und eine Woche später eine Minimalausgabe zur Abdichtung des Flash Player nachgeschoben. Insofern ist es kaum verwunderlich, dass sich in der Zwischenzeit 18 frische Flicken aufgetürmt haben, von denen die Hälfte kritische Sicherheitslücken beseitigt. Insgesamt hat Microsoft 140 Schwachstellen in der eigenen Software behoben, dazu kommen sieben Lücken im Flash Player.

Zwei der Sicherheitslücken werden bereits angegriffen. Es handelt sich um eine kritische Speicherbeschädigung im Internet Explorer 9 und 11, durch die Schadcode auf den Rechner gelangen kann, sowie um eine hochgefährliche Rechteausweitung in der Grafikkomponente aller Windows-Ausgaben inklusive der Server. In 51 Fällen hält Microsoft eine Ausnutzung der Fehler für wahrscheinlich, in 45 Fällen für weniger wahrscheinlich und in 42 Fällen für unwahrscheinlich. Bei den kritischen Schwachstellen handelt es sich zumeist um Remote-Code-Ausführungen.

Bei der Verteilung der Fehler liegt Microsofts aktueller Webbrowser Edge mit 32 an der Spitze, darunter finden sich 20 kritische und eine hochgefährliche Remote-Code-Ausführung, fünf Datenlecks, drei Sicherheitsumgehungen sowie drei Angriffsflächen zum Spoofing. Eine kritische Speicherbeschädigung, die Angreifern als Einfallstor für Schadcode dienen kann, und die drei Spoofing-Fehler wurden öffentlich dokumentiert. Zumindest sind bisher jedoch noch keine Angriffe bekannt.

Es folgen Uniscribe mit 29 Schwachstellen sowie der Internet Explorer, Office und Microsofts Grafikkomponente mit jeweils zwölf Lücken. Elf Sicherheitsprobleme stecken in Hyper-V, acht im Kernelmodustreiber und je sechs in Windows und dem SMB-Server. Bleiben noch vier Bugs im Windows-Kernel und je ein Fehler in der PDF-Bibliothek, DirectShow, dem Exchange Server, dem DVD Maker, den Internet Information Services (IIS), den Active-Directory-Verbunddiensten und den XML-Core-Services.

Der Flash Player, welcher zum Lieferumfang von Windows 8.1, RT 8.1 und 10 sowie Windows Server 2012, 2012 R2 und 2016 gehört, wurde ebenfalls aktualisiert. Adobe hat dabei sieben größtenteils kritische Schwachstellen entfernt. Über drei Zugriffe auf bereits gelöschte Objekte, einen Pufferüberlauf und zwei Speicherbeschädigungen lassen sich dem Opfer Schadprogramme unterschieben. Dazu gesellt sich eine Schwäche im Zufallsgenerator, durch die sich ein Datenleck öffnet.

Autor: mid
[]