2169161

Kritische Lücken in Windows, IE, Edge, Office und Silverlight

13.01.2016 | 08:56 Uhr |

Beim ersten Patch Day 2016 hat Microsoft neun Security Bulletins veröffentlicht, die 24 Sicherheitslücken behandeln. Sechs Bulletins sind als kritisch eingestuft. Ein wichtiges Bulletin behandelt vier Exchange-Lücken.

Microsofts erster Update-Dienstag in diesem Jahr bringt neun neu Security Bulletins und eines, das Microsoft noch nicht veröffentlicht hat. Sechs Security Bulletins behandeln jeweils mindestens eine Schwachstelle, die Microsoft als kritisch einstuft. Sie betreffen Windows, Internet Explorer, Edge, Office und Silverlight. Für drei weitere Bulletins gibt Microsoft den Gesamtschweregrad mit „hoch“ an.

MS16-001 – Internet Explorer 8 bis 11 (kritisch)
Ausnahmsweise entfällt nur ein kleiner Teil der Lücken auf den Internet Explorer (IE) – es sind lediglich zwei. Nur eine der beiden Schwachstellen gilt als kritisch. Sie ist identisch mit der JScript-/VBScript-Lücke im Bulletin MS16-003. Ein Angreifer, der diese Schwachstelle ausnutzt, kann beliebigen Code einschleusen und mit den Rechten des angemeldeten Benutzers ausführen. Die zweite Lücke ermöglicht es einem Angreifer, sich höhere Berechtigungen zu verschaffen. Dieses kumulative Sicherheits-Update ist das letzte für ältere IE-Versionen. Für den IE 7 und 8 gibt es ab heute keine weiteren Updates mehr, für den IE 9 nur noch unter Windows Vista, für den IE 10 nur noch unter Server 2012.

MS16-002 – Edge (kritisch)
Auch im neuen Browser Edge für Windows 10 hat Microsoft zwei Schwachstellen behoben. Beide stuft Microsoft als kritisch ein. Sie können es einem Angreifer ermöglichen, beliebigen Code im Kontext des angemeldeten Benutzers auszuführen.

MS16-003 – JScript/VBScript (kritisch)
Mit einem kumulativen Sicherheits-Update für die JScript- und VBScript-Module behebt Microsoft eine kritische Schwachstelle im VBScript-Modul. Dieses Update wird nur für Systeme benötigt, auf denen der Internet Explorer bis Version 7 installiert ist. Ist der IE 8 oder höher installiert, übernimmt das Update für den IE aus dem Bulletin MS16-001 die Aktualisierung der Script-Module.

MS16-004 – Office (kritisch)
In den allen unterstützten Office-Paketen für Windows und Mac aus dem Hause Microsoft schließt der Hersteller insgesamt fünf Sicherheitslücken. Zwei der Schwachstellen sind als kritisch eingestuft. Betroffen sind außerdem die kostenlosen Viewer für Word- und Excel-Dokumente sowie Sharepoint Foundation 2013.

MS16-005 – Windows (kritisch)
Dieses Bulletin behandelt je eine Schwachstelle in den Kernelmodustreibern Win32k und GDI32 . Erstere kann ausgenutzt werden, um eingeschleusten Code auszuführen. Die GDI32-Lücke kann benutzt werden, um den Sicherheitsmechanismus ASLR (Address Space Layout Randomization) zu umgehen. Beide Schwachstellen können etwa mittels einer speziell präparierten Web-Seite ausgenutzt werden.

MS16-006 – Silverlight (kritisch)
Microsofts Flash-Surrogat Silverlight 5 für Windows und Mac enthält eine Sicherheitslücke, die Microsoft als kritisch einstuft. Um sie auszunutzen, muss ein Angreifer potenzielle Opfer auf eine präparierte Web-Seite locken, die eine schädliche Silverlight-Anwendung enthält. In der neuen Silverlight-Version 5.1.41212.0 ist diese Lücke geschlossen.

MS16-007 – Windows (hoch)
In diesem Bulletin fasst Microsoft sechs Sicherheitslücken zusammen. Vier dieser Lücken entstehen durch unsicheres Laden von Programmbibliotheken (DLLs). Zwei dieser vier Schwachstellen können sich eignen, um eingeschleusten Code auszuführen. Das gilt auch für eine Lücke in DirectShow. Eine Schwachstelle im Remote Desktop Protokoll (RDP) von Windows 10 kann ausgenutzt werden. um Sicherheitsfunktionen zu umgehen. Ein Angreifer könnte sich mit einem Benutzerkonto anmelden, für das kein Kennwort festgelegt ist. Eigentlich sollte die Benutzeranmeldung ohne Passwort nur lokal möglich sein.

MS16-008 – Windows (hoch)
Im Kernel aller unterstützten Windows-Versionen hat Microsoft zwei Schwachstellen beseitigt, die es einem angemeldeten Benutzer ermöglichen, sich höhere Berechtigungen zu verschaffen. Er könnte dann beliebigen Code mit lokalen Systemrechten ausführen, Programme installieren, Daten ändern oder löschen sowie neue Benutzerkonten mit allen Rechten anlegen.

MS16-009 unveröffentlicht

MS16-010 – Exchange (hoch)
Im Exchange Server 2016 schließt Microsoft vier Spoofing-Lücken. Zwei der Schwachstellen betreffen auch Exchange Server 2013. Angriffspunkt ist in allen Fällen Outlook Web Access (OWA).

Für keine der vorgenannten Schwachstellen sind bislang Angriffe bekannt. Einige der Lücken betreffen auch Windows Server Technical Preview 3 und Windows Server Technical Preview 4, die ebenfalls Updates erhalten. Neben diesen Sicherheits-Updates verteilt Microsoft auch das „ Windows-Tool zum Entfernen bösartiger Software “ in der neuen Version 5.32. Für Windows 8 war dies der letzte Patch Day , Windows 8.1 wird noch bis 2023 unterstützt.

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

anfällige Software/Komponente(n)

Neustart nötig?

MS16-001

kritisch

1

RCE

Windows (alle); Internet Explorer

ja

MS16-002

kritisch

1

RCE

Windows 10; Edge

ja

MS16-003

kritisch

1

RCE

Windows Vista, Server 2008; JScript, VBScript

u.U.

MS16-004

kritisch

1

RCE

Microsoft Office (alle, auch Mac), SharePoint Foundation 2013, Visual Basic 6.0 Runtime;GDI32.dll, Win32k

u.U.

MS16-005

kritisch

1

RCE

Windows (alle); Kernelmodustreiber

ja

MS16-006

kritisch

1

RCE

Windows (alle), Mac; Silverlight

nein

MS16-007

hoch

1

RCE

Windows (alle); Laden von DLLs, DirectShow, RDP

ja

MS16-008

hoch

1

EoP

Windows (alle); Kernel

ja

MS16-010

hoch

1

Spoofing

Exchange Server 2013, 2016; OWA

u.U.

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen

Ausnutzbarkeit:
0 wird bereits ausgenutzt
1 Ausnutzung wahrscheinlich
2 Ausnutzung weniger wahrscheinlich
3 Ausnutzung unwahrscheinlich

0 Kommentare zu diesem Artikel
2169161