2208471

Kritische Lücken in Windows, IE, Edge und Office

13.07.2016 | 09:32 Uhr |

Zum Patch-Day im Juli hat Microsoft 11 Security Bulletins veröffentlicht, die sich mit 40 Sicherheitslücken befassen. Sechs Bulletins behandeln Schwachstellen, die Microsoft als kritisch ansieht.

Fünf der 11 Security Bulletins, die Microsoft beim Patch Day im Juli veröffentlicht hat, behandeln als kritisch eingestufte Lücken in Windows, im Internet Explorer (IE), in Edge sowie in Microsoft Office. In einem sechsten Bulletin dokumentiert Microsoft ein Update für den Flash Player, der seit Windows 8 im Internet Explorer 10 und 11 sowie im neuen Browser Edge für Windows 10 integriert ist. Auch Windows Server 2016 Technical Preview wird mit Sicherheits-Updates versorgt.

MS16-084 – Internet Explorer (kritisch)
Für den Internet Explorer stellt Microsoft ein neues kumulatives Sicherheits-Update bereit. Es beseitigt 14 Schwachstellen, von denen die Mehrzahl als kritisch eingestuft ist. Ein Angreifer, der eine der Lücken ausnutzt, kann beliebigen Code einschleusen und mit Benutzerrechten ausführen. Für einen erfolgreichen Angriff kann es genügen ein potenzielles Opfer auf eine speziell präparierte Web-Seite zu locken.

MS16-085 – Edge (kritisch)
Im neuen Browser Edge sind diesmal fast ebenso viele Lücken zu stopfen wie im alten Internet Explorer. Vier der 13 Schwachstellen teilt sich Edge zudem mit seinem Vorgänger. Auch die Edge-Lücken eignen sich, um Code einzuschleusen und auszuführen.

MS16-086 – JScript und VBScript (kritisch)
Wie bereits in den Vormonaten gibt es auch im Juli ein Sicherheits-Update für das Script-Modul (VBScript und JScript) in Windows Vista und Server 2008. Die darin beseitigte kritische Schwachstelle wird bei neueren Windows-Versionen mit dem Update für den Internet Explorer geschlossen.

MS16-087 – Druckerspooler (kritisch)
Zwei Sicherheitslücken in Druckerspooler-Komponenten aller Windows-Versionen stuft Microsoft ebenfalls als kritisch ein. Gelingt es einem Angreifer einen Benutzer zur Installation eines nicht autorisierten Druckertreibers zu bewegen, kann er einen Druckerserver einrichten oder beliebigen Code ausführen. Die zweite Lücke kann beliebiges Schreiben in das Dateisystem ermöglichen. Ein Angreifer könnte dann beliebigen Code mit höheren Systemberechtigungen ausführen.

MS16-088 – Microsoft Office (kritisch)
Über alle Office-Versionen einschließlich denen für Mac verteilen sich insgesamt sieben Schwachstellen. Keine der Lücken betrifft alle Office-Produkte, aber für jedes ist etwas dabei. Dazu gehören auch Outlook, die Sharepoint-Server 2010, 2013 und 2016, Office Web Apps sowie die kostenlos erhältlichen Viewer für Word, Excel und Powerpoint. Alle Lücken lassen sich ausnutzen, um eingeschleusten Code auszuführen. Dazu muss ein Benutzer ein speziell präpariertes Office-Dokument öffnen. Zum Teil genügt bereits die Mail-Vorschau in Outlook, um Schaden anzurichten, wenn ein solches Office-Dokument als Mail-Anhang verschickt wird.

MS16-089 – sicherer Windows-Kernelmodus (hoch)
Im so genannten sicheren Windows-Kernelmodus von Windows 10 (und Windows Server 2016 Technical Preview) steckt eine Schwachstelle, die ein lokal angemeldeter Angreifer ausnutzen kann, um auf vertrauliche Informationen zuzugreifen. Im Kombination mit weiteren Schwachstellen könnte er auch größeren Schaden anrichten.

MS16-090 – Kernelmodustreiber (hoch)
Im Kernelmodustreiber aller Windows-Versionen stecken bis zu sechs Sicherheitslücken, die Microsoft in diesem Bulletin behandelt. Die meisten Windows-Versionen sind durch mindestens fünf dieser Schwachstellen betroffen. Fünf Lücken können es einem Angreifer erlauben sich höhere Berechtigungen zu verschaffen und im Kernelmodus beliebigen Code auszuführen, die sechste Lücke führt zum Offenlegen von Informationen.

MS16-91 – .NET Framework (hoch)
Im .NET Framework beseitigt Microsoft eine Sicherheitslücke, die alle Windows-Versionen betrifft. Die fehlerhafte Verarbeitung von XML-Eingaben mit externen Verweisen kann zur Offenlegung von Informationen führen. Ein Angreifer kann eine speziell präparierte XML-Datei an eine Web-basierte Anwendung senden, um den Fehler im XML External Entity (XXE)-Parser auszunutzen.

MS16-092 – Kernel (hoch)
Im Kernel neuerer Windows-Versionen (ab 8.1, Server 2012, RT) schließt Microsoft zwei Sicherheitslücken. Eine kann ausgenutzt werden, um Sicherheitsfunktionen zu umgehen. Ein Angreifer könnte die Sandbox einer Anwendung niedriger Priorität aushebeln, wenn er zugleich eine weitere Schwachstelle ausnutzt. Dadurch könnte er Dateien ändern, auf die diese Anwendung an sich keinen Zugriff hat. Die zweite Lücke, die dieses Bulletin behandelt, entsteht durch fehlerhafte Behandlung von Systemaufrufen und ermöglicht das Offenlegen von Informationen.

MS16-093 – Flash Player (kritisch)
In diesem Bulletin dokumentiert Microsoft ein neues Sicherheits-Update für den Flash Player, der im Internet Explorer 10 und 11 (ab Windows 8) sowie in Edge integriert ist. Diese Browser bekommen den aktualisierten Flash Player über Windows Update, während ältere IE-Versionen und Browser anderer Hersteller (außer Google Chrome) dieses Update von Adobe erhalten. Es beseitigt laut Microsoft 24 Sicherheitslücken im Flash Player, der nunmehr in Version 22.0.0.209 erhältlich ist. Adobe führt hingegen 52 gestopfte Lücken auf. Mehr dazu in einem separaten News-Beitrag.

MS16-094 – (hoch)
Die Funktion „sicherer Start“ (Secure Boot) neuerer Windows-Versionen (ab Windows 8) ist anfällig für Angriffe mit Hilfe bestimmter Richtlinien. Ein Angreifer muss die Möglichkeit haben, eine solche Richtlinie zu installieren, um die Schwachstelle ausnutzen zu können. Dann kann er Sicherheitsprüfungen durch Secure Boot umgehen und zum Beispiel Treiber installieren, die nur zu Testzwecken signiert wurden. Das Laden solcher Treiber sollte Secure Boot eigentlich unterbinden. Der Angreifer könnte etwa auch die Integritätsprüfung für BitLocker umgehen.

Außerdem stellt Microsoft auch im Juli eine aktualisierte Fassung seines Windows-Tool zum Entfernen bösartiger Software bereit.

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

anfällige Software/Komponente(n)

Neustartnötig?

MS16-084

kritisch

1

RCE

Windows (alle); Internet Explorer 9 bis 11

ja

MS16-085

kritisch

1

RCE

Windows 10; Edge

ja

MS16-086

kritisch

1

RCE

Windows Vista, Server 2008; JScript und VBScript

u.U.

MS16-087

kritisch

2

RCE

Windows (alle); Druckerspooler

u.U.

MS16-088

kritisch

1

RCE

MS Office (alle, inkl. Mac), Sharepoint Server 2010, 2013, 2016, Office Viewer, OWA

u.U.

MS16-089

hoch

2

ID

Windows 10; sicherer Windows-Kernelmodus

ja

MS16-090

hoch

2

EoP

Windows (alle); Kernelmodustreiber (Win32k.sys)

ja

MS16-091

hoch

2

ID

Windows (alle); .NET Framework

u.U.

MS16-092

hoch

2

SFB

Windows 8.1, 10, RT 8.1, Server 2012, 2012 R2; Kernel

ja

MS16-093

kritisch

1

RCE

Windows (alle); Flash Player

ja

MS16-094

hoch

1

SFB

Windows 8.1, 10, RT 8.1, Server 2012, 2012 R2; Secure Boot (sicherer Start)

ja

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
DoS – Denial of Service: Dienstverweigerung / Software-Absturz
SFB – Security Feature Bypass: Umgehen einer Sicherheitsfunktion

Ausnutzbarkeit:
0 – wird bereits ausgenutzt
1 – Ausnutzung wahrscheinlich
2 – Ausnutzung weniger wahrscheinlich
3 – Ausnutzung unwahrscheinlich


0 Kommentare zu diesem Artikel
2208471