Vergrößern Der Patch Day im Januar 2017 ist recht übersichtlich

Beim ersten Update-Dienstag des Jahres bietet Microsoft nur schmale Kost. Lediglich drei Sicherheitslücken schließt der Hersteller in seinen Produkten, darunter eine Word-Schwachstelle im aktuellen Office-Paket.

Microsoft beginnt das Jahr 2017 mit einem schlanken Patch Day. Vier Security Bulletins , wahrscheinlich die letzten ihrer Art, behandeln Schwachstellen in Edge und in Office 2016 sowie eine DoS-Lücke in älteren Windows-Versionen. Lediglich die Word-Lücke stuft Microsoft als kritisch ein. Hinzu kommt ein Sicherheits-Update für den Flash Player, der im Internet Explorer (ab Windows 8) und in Edge integriert ist. Der Internet Explorer erhält erstmals seit längerer Zeit kein neues Update.



Ab Februar will Microsoft keine Security Bulletins mehr veröffentlichen. Stattdessen soll ein so genannter „Leitfaden für Sicherheitsupdates“ Informationen über geschlossene Sicherheitslücken und verfügbare Updates liefern. Damit sollen Administratoren und Anwender die anzuzeigenden Informationen gezielt auf ihre Bedürfnisse abstimmen können. Das neue Portal kann bereits als Preview (Vorschau) ausprobiert werden. Es erfüllt seinen Zweck allerdings bislang mehr schlecht als recht. Die Bedienung ist umständlich und die Informationen zu den Sicherheitslücken stimmen oft nicht mit denen in den Security Bulletins überein.



Die Security Bulletins vom 10. Januar 2017



MS17-001 – Edge (hoch)

Im Browser Edge beseitigt Microsoft eine Schwachstelle bei der Durchsetzung der Richtlinien für domänenübergreifende Zugriffe. Ein Angreifer könnte ein potenzielles Opfer auf eine präparierte Web-Seite locken und eingegebene Daten in eine andere Domäne einfügen. Er könnte sich auf diese Weise erweiterte Rechte im Browser verschaffen.



MS17-002 – Office (kritisch)

In Microsoft Office 2016 steckt eine als kritisch eingestufte Word-Lücke, die auch Sharepoint Enterprise Server 2016 betrifft. Bringt ein Angreifer einen Benutzer dazu ein speziell präpariertes Office-Dokument zu öffnen, kann er beliebigen Code einschleusen und im Kontext des Benutzers ausführen. Der Angreifer könnte eine solche Datei etwa als Mail-Anhang versenden.



MS17-003 – Flash Player (kritisch)

Adobe hat ein Sicherheits-Update für den Flash Player bereit gestellt. Dies betrifft auch den Flash Player, der im Internet Explorer (ab Windows 8) und in Edge integriert ist. Auf diesen bezieht sich das Microsoft Security Bulletin, das 12 gestopfte Lücken ausweist. Der Flash Player sollte nach der Update-Installation die neue Versionsnummer 24.0.0.194 tragen.

MS17-004 – LSASS (hoch)

Der Subsystemdienst für die lokale Sicherheitsautorität (Local Security Authority Subsystem Service, LSASS) älterer Windows-Versionen weist eine DoS-Lücke auf (Denial of Service). Betroffen sind Windows 7 und Vista sowie Server 2008 und 2008 R2. Nutzt ein Angreifer diese Schwachstelle aus, führt dies zu einem Neustart des Systems. Die Schwachstelle wurde bereits vorab öffentlich bekannt gemacht, entsprechende Angriffe sind jedoch bislang nicht bekannt.



Außerdem gibt es, wie in jedem Monat, auch im Januar das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.





Bulletin Risikostufe Ausnutz-barkeit Effekt anfällige Software/Komponente(n) Neustartnötig? MS17-001 hoch 1 EoP Windows 10, Server 2016; Edge ja MS17-002 kritisch 1 RCE Microsoft Office 2016; Word, Sharepoint Enterprise Server u.U. MS17-003 kritisch – RCE Windows 8.1, 10, RT, Server 2012, 2012 R2, 2016; integrierter Flash Player (IE, Edge) ja MS17-004 hoch 3 DoS Windows Vista,7 Server 2008, 2008 R2; LSASS ja

u.U. – unter Umständen

RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt

EoP – Elevation of Privilege: Ausweitung von Berechtigungen

DoS – Denial of Service: Dienstverweigerung / Software-Absturz

SFB – Security Feature Bypass: Umgehen einer Sicherheitsfunktion



Ausnutzbarkeit:

0 – wird bereits ausgenutzt

1 – Ausnutzung wahrscheinlich

2 – Ausnutzung weniger wahrscheinlich

3 – Ausnutzung unwahrscheinlich