2088274

Kritische Lücken im Media Player und IE

10.06.2015 | 09:25 Uhr |

Zum Update-Dienstag im Juni geht Microsoft mit acht Security Bulletins gegen 44 Sicherheitslücken vor. Sie betreffen Windows, den Internet Explorer, den Media Player sowie Office und Exchange.

Beim Patch Day am 9. Juni hat Microsoft acht Security Bulletins veröffentlicht. Zwei davon behandeln als kritisch eingestufte Schwachstellen. Die sechs übrigen Bulletins tragen die Risikoeinstufung hoch, die zweithöchste Stufe. Auch in zwei dieser Bulletins geht es um Lücken, die es einem Angreifer ermöglichen können Code einzuschleusen und auszuführen. Auch für Windows Technical Preview und Windows Server Technical Preview (Windows 10) gibt es Sicherheits-Updates.

MS15-056: Der Löwenanteil der gestopften Lücken entfällt einmal mehr auf den Internet Explorer 6 bis 11 für alle Windows-Versionen. Im Juni sind es 24 IE-Lücken, die Microsoft bis dem kumulativen Sicherheits-Update beseitigt. Bis auf drei lassen sich alle Schwachstellen ausnutzen, um Code einzuschleusen und auszuführen.

MS15-057: Eine Lücke im Windows Media Player ist aus dem gleichen Grund ebenfalls als kritisch eingestuft. Betroffen sind der Media Player 10 unter Windows Server 2003, der Media Player 11 unter Vista und Server 2008 sowie der Media Player 12 unter Windows 7 und Server 2012 R2.

Ein Bulletin namens MS15-058 hat Microsoft (bislang?) nicht veröffentlicht.

MS15-059: Drei Sicherheitslücken in Microsoft Office stuft der Hersteller als hohes Risiko ein. Sie resultieren aus Fehlern bei der Speicherbehandlung. Anfällig sind Office 2007, 2010, 2013 sowie 2013 RT. Alle drei Schwachstellen können ausgenutzt werden, um Code einzuschleusen und auszuführen.

MS15-060: Auch eine Lücke in Microsoft-Steuerelementen kann genutzt werden, um Code einzuschleusen und auszuführen. Dazu müsste ein Angreifer ein potenzielles Opfer auf eine präparierte Website locken und es veranlassen die F12-Entwickler-Tools im IE aufzurufen. Anfällig sind alle Windows-Versionen außer Server 2003.

MS15-061: Gleich 11 Schwachstellen in den Kernelmodustreibern (Win2k.sys) aller Windows-Versionen behandelt Microsoft in diesem Bulletin. Im schlimmsten Fall kann sich ein Angreifer höhere Berechtigungen verschaffen, zum Teil reicht es nur für den Zugriff auf an sich geschützte Informationen.

MS15-062: In Windows Server 2008, 2008 R2 sowie 2012 steckt eine Sicherheitslücke, die Active Directory-Verbunddienste betrifft. Ein Angreifer kann sich höhere Berechtigungen verschaffen, indem er eine speziell gestaltete URL an einen anfälligen Windows-Server sendet. Das Update korrigiert die Verarbeitung von HTTP-Antworten, um diese Lücke zu schließen.

MS15-063 : Eine Kernel-Schwachstelle (LoadLibrary) betrifft Windows Vista, 7, 8, 8.1, RT sowie Server 2008, 2008 R2 und 2012. Auch hier könnte ein Angreifer höhere Berechtigungen erlangen. Dazu müsste er eine DLL (Programmbibliothek) in einem lokalen Verzeichnis oder einer Netzwerkfreigabe ablegen und darauf warten, dass ein Benutzer ein Programm ausführt, das diese DLL lädt.

MS15-064: Im Exchange Server 2013 behebt Microsoft drei Schwachstellen. Zwei eignen sich zum Erlangen höherer Rechte, eine zum Offenlegen von Informationen. Ein Angreifer müsste dazu gefälschte Anforderungen an einen Exchange-Server senden oder speziell präparierten HTML-Code einschleusen.

MS15-046: Dieses Office-Bulletin aus dem Mai hat Microsoft aktualisiert, da es Probleme mit den Updates für Office 2010 gab. Wer diese Office-Version einsetzt, sollte die neuen Sicherheits-Updates installieren.

Außerdem hat Microsoft das Windows-Tool zum Entfernen bösartiger Software in der neuen Version 5.25 bereitgestellt.

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

anfällige Software/Komponente(n)

Neustartnötig?

MS15-056

kritisch

1

RCE

Windows (alle); Internet Explorer 6 bis 11

ja

MS15-057

kritisch

2

RCE

Windows Vista, 7, Server 2003, 2008/R2; Media Player

u.U.

MS15-059

hoch

1

RCE

MS Office 2007, 2010, 2013; ActiveX, präparierte Dokumente

u.U.

MS15-060

hoch

2

RCE

Windows (alle außer Server 2003); F12-Entwicklertools im IE

ja

MS15-061

hoch

0

EoP

Windows (alle); Kernelmodustreiber (Win32k.sys)

ja

MS15-062

hoch

2

EoP

Windows Server 2008, 2008 R2, 2012; Active Directory

nein

MS15-063

hoch

2

EoP

Windows (alle außer 8.1, Server 2003); Kernel (LoadLibrary)

ja

MS15-064

hoch

2

EoP

Exchange Server 2013; Fälschung Site-übergreifender Anforderungen, Einschleusen von HTML-Code

nein

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen

0 Kommentare zu diesem Artikel
2088274