2214243

Kritische Lücke im Windows PDF-Reader gestopft

10.08.2016 | 09:07 Uhr |

Beim Update-Dienstag im August hat Microsoft neun neue Security Bulletins veröffentlicht, die insgesamt 27 Sicherheitslücken behandeln. Sie betreffen Windows, Internet Explorer, Edge und Office.

Microsofts Patch Day fällt im Vergleich zu den Vormonaten relativ bescheiden aus – es ist Urlaubszeit. Neun Security Bulletins befassen sich mit 27 zum Teil als kritisch eingestuften Schwachstellen. Diese verteilt Microsoft auf fünf der neun Bulletins. Neben den üblichen Schwachpunkten wie Browser, Office, Kernelmodustreiber und Schriftarten, sticht diesmal der in Windows ab Version 8 enthaltene PDF-Reader hervor, der eine kritische Lücke aufweist. Auch für Windows Server 2016 Technical Preview 5 stellt Microsoft wieder Sicherheits-Updates bereit.

MS16-095 – Internet Explorer (kritisch)
Für den Internet Explorer stellt Microsoft ein neues kumulatives Sicherheits-Update bereit. Es beseitigt 10 Schwachstellen, die allesamt als kritisch eingestuft sind. Ein Angreifer, der eine der Lücken ausnutzt, kann beliebigen Code einschleusen und mit Benutzerrechten ausführen. Für einen erfolgreichen Angriff kann es genügen ein potenzielles Opfer auf eine speziell präparierte Web-Seite zu locken.

MS16-096 – Edge (kritisch)
Im neuen Browser Edge sind auch diesmal fast ebenso viele Lücken zu stopfen wie im alten Internet Explorer. Sechs der neun Schwachstellen teilt sich Edge zudem mit seinem Vorgänger. Auch die Edge-Lücken eignen sich, um Code einzuschleusen und auszuführen.

MS16-097 – Grafikkomponente (kritisch)
Auch in diesem Monat muss Microsoft wieder an einer Grafikkomponente operieren, die für die Schriftartenbibliothek benötigt wird. Drei Sicherheitslücken werden geflickt, die sich eignen, um Code einzuschleusen und auszuführen. Nur einer Lücken betrifft neuere Windows-Versionen wie 8.1 oder 10. Darüber hinaus sind auch ältere Office-Pakete, der kostenlose Word Viewer sowie Skype for Business und Lync anfällig.

MS16-098 – Kernelmodustreiber  (hoch)
Der Kernelmodustreiber win32k.sys ist ebenfalls einer der Dauerpatienten beim Update-Dienstag. Vier Schwachstellen können es einem Angreifer ermöglichen sich höhere Berechtigungen zu verschaffen. Dadurch kann er Code im Kernelmodus ausführen – er muss nur eine passende Lücke auswählen, um ihn erstmal einzuschleusen.

MS16-099 – Office (kritisch)
Microsofts Office-Pakete sind auch immer für kritische Sicherheitslücken gut. In diesem Monat stopft Microsoft deren fünf, die sich über die in den Office-Version 2007 bis 2016 enthaltenen Programme Word und OneNote verteilen. Der kostenlose Word Viewer ist ebenfalls vertreten.. Auch die Mac-Nutzer müssen wieder Sicherheits-Updates einspielen, sobald sie verfügbar sind. Zudem enthalten die Updates sicherheitsrelevante Verbesserungen für Outlook.

MS16-100 – Secure Boot (hoch)
Das hundertste Security Bulletin dieses Jahres behandelt eine Schwachstelle in Windows 8.1 und 10, RT 8.1 sowie Server 2012 und 2012 R2. Ein Angreifer könnte eine Richtlinie installieren, die es ihm ermöglicht die Schutzfunktionen des so genannten sicheren Starts (Secure Boot) zu umgehen. Dadurch könnte er Programme und Treiber ausführen, die nur für Testzwecke signiert sind. Er benötigt dazu jedoch entweder Admin-Rechte oder physischen Zugriff auf den Rechner.

MS16-101 – Authentifizierung (hoch)
Eine Kerberos-Lücke und eine Schwachstelle in NetLogon betreffen wiederum alle Windows-Versionen, abgesehen von Windows RT. Beide betreffen die Authentifizierung von Benutzern in einer Domäne und könnten genutzt werden, um einem Angreifer höhere Berechtigungen zu beschaffen.

MS16-102 – PDF-Reader (kritisch)
In Windows ab 8.x ist ein Anzeigeprogramm für PDF-Dateien enthalten. Dieser PDF-Reader weist eine Sicherheitslücke auf, über die ein Angreifer schädlichen Code einschleusen und ausführen könnte. Dazu muss er einen Benutzer dazu verleiten eine speziell präparierte PDF-Datei zu öffnen. Das kann ein Mail-Anhang sein oder auch ein Link in einer Web-Seite. Unter Windows 10 mit Edge als Standard-Browser genügt es sogar eine präparierte Web-Seite aufzurufen, um zum Opfer zu werden. Daher empfiehlt Microsoft, man solle Edge aus den standardmäßigen Dateitypzuordnungen des PDF-Reader entfernen. Dazu sind allerdings Änderungen an der Windows-Registry erforderlich.

MS19-103 – Universal Outlook (hoch)
Das in Windows 10 enthaltene Universal Outlook kann Benutzernamen und Passwort des Anwenders preisgeben, wenn es keine sichere Verbindung herstellen kann. Mit anderen Worten: es plaudert die Anmeldedaten über eine unverschlüsselte Verbindung aus, wenn man es nett darum bittet.

Außerdem hat Microsoft das Security Bulletin MS16-054 aus dem Mai aktualisiert. Microsoft stellt weitere Sicherheits-Updates für Office 2007, Word 2007 und den Word Viewer bereit. Damit soll die Sicherheitslücke CVE-2016-0183 besser abgedichtet werden. Und wie in jedem Monat gibt es auch im August das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

anfällige Software/Komponente(n)

Neustartnötig?

MS16-095

kritisch

1

RCE

Windows (alle); Internet Explorer 9 bis 11

ja

MS16-096

kritisch

1

RCE

Windows 10; Edge

ja

MS16-097

kritisch

1

RCE

Windows (alle); Grafikkomponente, Schriftartenbibliothek

u.U.

MS16-098

hoch

1

EoP

Windows (alle); Kernelmodustreiber (Win32k.sys)

ja

MS16-099

kritisch

1

RCE

MS Office (alle, auch Mac); Word, Word Viewer, OneNote

u.U.

MS16-100

hoch

2

SFB

Windows 8.1, 10, RT, Server 2012, 2012 R2; Secure Boot (sicherer Start)

nein

MS16-101

hoch

2

EoP

Windows (alle außer RT); Kerberos, NetLogon

ja

MS16-102

kritisch

2

RCE

Windows 8.1, 10, Server 2012, 2012 R2; PDF-Reader

u.U.

MS16-103

hoch

3

ID

Windows 10; Universal Outlook, ActiveSyncProvider

ja

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
DoS – Denial of Service: Dienstverweigerung / Software-Absturz
SFB – Security Feature Bypass: Umgehen einer Sicherheitsfunktion

Ausnutzbarkeit:
0 – wird bereits ausgenutzt
1 – Ausnutzung wahrscheinlich
2 – Ausnutzung weniger wahrscheinlich
3 – Ausnutzung unwahrscheinlich


0 Kommentare zu diesem Artikel
2214243