Microsoft macht kritische Lücken dicht

Hay-Tun am Mittwoch 9. September 2015 12:56:05

Microsoft macht kritische Lücken dicht

Microsoft hat an seinem Patch-Day zwölf Updates veröffentlicht, die insgesamt 56 Schwachstellen beheben.

Betroffen sind Windows, Office, Internet Explorer, SharePoint, .NET Framework, Exchange Server, Lync, Skype for Business Server und der neue Browser Edge. Fünf Sicherheitslücken wurden als kritisch eingestuft, da sie die Ausführung von Remote-Codes ermöglichen. Die übrigen sieben Aktualisierungen sind mit der Stufe "hoch" versehen. Microsoft zufolge erlauben diese Lücken Rechteerweiterung, Offenlegung von Informationen, das Aushebeln von Sicherheitsfunktionen, Denial of Service (DoS) und Remote-Code-Ausführung.

Der erste wichtige Patch MS15-094 soll als kumulatives Sicherheitsupdate für Internet Explorer gleich 17 Lücken, darunter kritische Speicherfehler dicht machen. Betroffen sind nahezu alle Versionen des Microsoft-Browsers - von IE7 unter Windows Server 2008 bis zu IE11 unter der neuesten Windows-Version 10. Ruft der User eine manipulierte Website auf, kann ein Hacker dessen Benutzerrechte erlangen und Schadcodes aus der Ferne ausführen.

Das kritische Update mit der Nummer MS15-098 betrifft ebenfalls alle gängigen Windows-Versionen. Es behebt ein Problem im Windows Journal, das standardmäßig bei allen Windows-Client-Versionen ab Werk vorinstalliert ist. Windows-Server-Umgebungen stellen nur dann eine Gefahr dar, wenn Windows Journal durch Aktivieren der Funktion "Desktopdarstellung" installiert wurde. Die Lücke zur Remote-Code-Ausführung kann erst dann ausgenutzt werden, wenn Hacker das Opfer dazu verleiten, eine manipulierte Journaldatei zu öffnen.

Das dritte kritische Update MS15-095 korrigiert als kumulative Aktualisierung Fehler im neuen Windows-10-Browser Edge. Einige Fehler können auch hier Remote-Code-Ausführung ermöglichen, wenn der User eine mit Schadcode verseuchte Website öffnet. Laut Microsoft sind User mit Konten, die über weniger Systemrechte verfügen, eventuell weniger davon betroffen als User mit Administratorrechten.

Das vierte kritische Update MS15-097 macht eine Schwachstelle in der Microsoft-Graphics-Komponente von Windows, Office und Lync dicht. Auch hier ist Remote-Code-Ausführung möglich, wenn der User manipulierte Dateien oder Websites öffnet, in die OpenType-Schriftartdateien eingebettet sind.

Das Sicherheits-Update MS15-099 stuft Microsoft für alle unterstützten Editionen von Office 2007, 2010, 2013 und 2013 RT als kritisch ein. Ein Hacker, der die Cross-Site-Scripting-Lücke erfolgreich ausnutzt, kann beliebige Codes im Kontext des aktuellen Users ausführen und auf diese Weise Daten ergaunern.

Die restlichen Updates beheben weniger gefährliche Sicherheitsprobleme. Parallel zu den zwölf Patches stellt Microsoft wie üblich auch eine aktualisierte Version seines Windows-Tool zum Entfernen bösartiger Software zur Verfügung. Das Tool erkennt und löscht eine Auswahl gängiger Malware, die sich im System eingenistet haben.

Foto: © Flickr: Mike Mozart.



Kommentar hinzufügen

Kommentare

Kommentar hinzufügen