Nachrichten

August-Patchday

Microsoft schließt 62 Sicherheitslücken

Software | HT4U.net
Microsoft hat am gestrigen August-Patchday 62 Sicherheitslücken in Windows, Edge nebst ChakraCore, dem Internet Explorer, Office (inklusive der Office Services und Web Apps), Visual Studio, dem .NET-Framework, dem Exchange-Server und dem hauseigenen SQL-Server geschlossen. 20 der behobenen Fehler stellen eine kritische Gefahr dar, weitere 38 wurden als hochgefährlich kategorisiert.

Wer heutzutage erfahren will, welche Sicherheitslücken Microsoft geschlossen hat, muss bei Talos, den Sicherheitsspezialisten von Cisco Systems, vorbeischauen. Microsofts eigener Security Update Guide liefert nämlich auch weiterhin eine völlig unübersichtliche Auflistung und taugt nur zur gezielten Suche nach Informationen über spezielle Updates oder Produkte. Abermals stellen die Webbrowser Edge und Internet Explorer sowie die dazugehörigen Scripting-Engines das größte Risiko dar.

Elf kritische Speichermanipulationen in den Webbrowsern

Zwei kritische Speicherfehler (CVE-2018-8359, CVE-2018-8390) wurden in der Scripting-Engine ChakraCore beseitigt, wobei CVE-2018-8390 auch den Webbrowser Edge betrifft. Dazu kommen vier kritische Speicherfehler (CVE-2018-8266, CVE-2018-8380, CVE-2018-8381, CVE-2018-8384) in der Scripting-Engine Chakra, über die sich Edge und ChakraCore angreifen lassen. Nochmals fünf kritische Speicherfehler (CVE-2018-8355, CVE-2018-8371, CVE-2018-8372, CVE-2018-8373, CVE-2018-8385) fanden sich in der Scripting-Engine des Internet Explorer, wobei sich CVE-2018-8355, CVE-2018-8372 und CVE-2018-8385 auch gegen Edge und ChakraCore einsetzen lassen. In fast allen Fällen hält Microsoft baldige Angriffe für wahrscheinlich. Drei weitere Speichermanipulationen ermöglichen Angriffe auf Edge (CVE-2018-8377, CVE-2018-8387, CVE-2018-8403), der letztgenannte Fehler betrifft zudem den Internet Explorer der Versionen 10 und 11. Nur für CVE-2018-8377 merkt Microsoft an, dass baldige Angriffe weniger wahrscheinlich seien. CVE-2018-8387 und CVE-2018-8403 stehen indes ganz oben auf der Abschussliste.

Schadcode über Websites, Mails, Dokumente und Verknüpfungen

Abermals lässt sich Windows bzw. dessen Schriftartenbibliothek mithilfe manipulierter Fonts angreifen (CVE-2018-8344). Öffnet das Opfer eine Website, eine E-Mail oder ein Dokument mit eingebetteten Schriften, wird beliebiger Code im Sicherheitskontext des angemeldeten Benutzers ausgeführt. Verfügt der Benutzer über administrative Rechte, erlangt der Angreifer die volle Kontrolle. Da eine solche Attacke hohe Erfolgsaussichten hat, erwartet Microsoft schon bald erste Angriffe. Die PDF-Bibliothek enthält eine ähnliche Schwachstelle (CVE-2018-8350), hier muss der Benutzer eine PDF-Datei mit Edge öffnen. Eine Ausnutzung dieser Lücke ist nach Microsofts Auffassung allerdings weniger wahrscheinlich. Auch das "Graphics Device Interface" (GDI) von Windows 7 und Server 2008 (inklusive R2) schlampt bei der Speicherverwaltung (CVE-2018-8397). Das Einschleusen von Schadcode findet hier über speziell präparierte Websites oder Dokumente statt, was man in Redmond als weniger wahrscheinlich erachtet. Alle Versionen von Windows und Windows Server stolpern über speziell gestaltete .lnk-Dateien, also Verknüpfungen (CVE-2018-8345), die auf bösartige Programme verweisen. Dieses Problem dürfte für Angreifer sehr attraktiv sein.

Exchange-Server und SQL-Server übernehmen

Die Exchange-Server der Generationen 2010 bis 2016 behandeln Objekte im Speicher nicht mit der nötigen Sorgfalt, was Angreifer mithilfe manipulierter E-Mails ausnutzen können (CVE-2018-8302). Im Erfolgsfall kann der Angreifer eigenen Code im Kontext des Systemnutzers ausführen und erhält somit die volle Kontrolle über den Server. Er kann dann Programme installieren, Daten lesen, schreiben und löschen sowie neue Benutzer anlegen. Microsofts SQL-Server leidet derweil unter einem Pufferüberlauf (CVE-2018-8273), der sich über eine speziell aufgebaute Anfrage auslösen lässt. Verläuft die Attacke erfolgreich, kann der Angreifer eigenen Code im Kontext des Service-Kontos der Datenbank ausführen. In beiden Fällen spricht Microsoft von einem kritischen Problem, hält baldige Angriffe aber für weniger wahrscheinlich.

Autor: mid
[]







Stichworte zur Meldung: Microsoft 62 Windows Office