2140047

Microsoft schließt 49 Lücken in Windows, IE, Edge und Office

11.11.2015 | 08:55 Uhr |

Beim Patch-Day im November schließt Microsoft insgesamt 49 Sicherheitslücken in Windows und Office sowie im Internet Explorer, in Edge und in Skype for Business.

Microsofts Update-Dienstag bringt diesmal 12 neue Security Bulletins , die insgesamt 49 Schwachstellen behandeln. In vier Bulletins geht es um als kritisch eingestufte Sicherheitslücken. Die Mehrzahl der Lücken betrifft, wie so oft, den Internet Explorer 7 bis 11. Im neuen Browser Edge schließt Microsoft vier Lücken. Sieben zum Teil recht problematische Schwachstellen sind in den Office-Produkten zu stopfen. Sicherheits-Updates gibt es auch für die kommende Server-Generation, die derzeit als "Windows Server Technical Preview 3" getestet werden kann.

MS15-112 – Internet Explorer (kritisch)
Im Internet Explorer (IE) 7 bis 11 aller unterstützten Windows-Versionen beseitigt Microsoft mit dem neuesten kumulativen Sicherheits-Update 25 Schwachstellen. Die meisten Lücken sind Fehler in der Speicherbehandlung, die es einem Angreifer ermöglichen können, schädlichen Code einzuschleusen und auszuführen. Angriffe, bei denen eine der Schwachstellen ausgenutzt würde, sind bislang nicht bekannt.

MS15-113 – Edge (kritisch)
Vier der vorgenannten IE-Lücken muss Microsoft auch im neuen Web-Browser Edge in Windows 10 schließen. Drei dieser Lücken stuft Microsoft als kritisch ein. Auch hier ermöglichen es Fehler in der Speicherbehandlung einem Angreifer Code einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen. Entsprechende Angriffe sind bislang nicht bekannt.

MS15-114 – Windows Journal (kritisch)
Eine weitere Schwachstelle im Windows Journal betrifft nur Windows Vista und 7 sowie Windows Server 2008 und Server 2008 R2. Öffnet ein Benutzer eine speziell präparierte Journaldatei, kann eingeschleuster Code ausgeführt werden.

MS15-115 – Kernel (kritisch)
Dieses Security Bulletin behandelt sieben Schwachstellen in anfälligen Komponenten des Systemkerns aller Windows-Versionen. Dazu gehören der Adobe Type Manager sowie die Behandlung des Kernel- und Grafikspeichers durch den Windows-Kernel. Zwei dieser Lücken stuft Microsoft als kritisch ein.

Achtung: Der zu MS15-115 gehörende Patch KB3097877 bereitet erhebliche Probleme.

MS15-116 – Microsoft Office (hoch)
Sieben Sicherheitslücken verteilen sich ungleichmäßig über praktisch die gesamte Produktpalette der Office-Familie – von Office 2007 bis 2016 über Sharepoint Server 2007 bis 2013 bis zur Outlook-App und Excel für Mac. Mehrere Lücken können ausgenutzt werden, um Code einzuschleusen, indem ein Benutzer dazu verleitet wird, ein präpariertes Office-Dokument zu öffnen.

MS15-117 – NDIS (hoch)
Eine Schwachstelle in der Netzwerkschnittstelle NDIS (Network Driver Interface Specification) betrifft wiederum nur Windows Vista und 7 sowie Windows Server 2008 und Server 2008 R2. Sie kann es einem angemeldeten Benutzer ermöglichen sich höhere Berechtigungen zu verschaffen.

MS15-118 – .NET Framework (hoch)
Im .NET Framework aller Windows-Versionen schließt Microsoft drei Sicherheitslücken. Eine Schwachstelle kann ausgenutzt werden, um sich höhere Berechtigungen zu verschaffen, eine zur Offenlegung von Informationen und eine kann zur Umgehung des Sicherheitsmechanismus ASLR (Address Space Layout Randomization) dienen.

MS15-119 – Winsock (hoch)
Eine Schwachstelle in der Winsock-Schnittstelle aller Windows-Versionen eignet sich für angemeldete Benutzer dazu höhere Berechtigungen zu erlangen. Dies wird dadurch ermöglicht, dass Winsock auf Speicheradressen zugreift, ohne deren Gültigkeit zu prüfen. Das Update beseitigt dieses Fehlverhalten.

MS15-120 – IPSec (hoch)
Neuere Windows-Versionen (ab 8.x / RT / Server 2012) sind anfällig für DoS-Angriffe (Denial of Service), die auf eine Lücke im IPsec-Dienst (Internet Protocol Security) zielen. Ein Angreifer müsste dafür allerdings über gültige Anmeldeinformationen verfügen. Informationen über diese Schwachstelle sind bereits öffentlich bekannt, entsprechende Angriffe hingegen bisher nicht.

MS15-121 – TLS (hoch)
Eine Spoofing-Lücke im Modul SChannel (Secure Channel) betrifft alle Windows-Versionen vor 10. Ein Angreifer kann die Schwachstelle im Rahmen eines Man-in-the-Middle-Angriffs auf eine Client-Server-Verbindung ausnutzen. Mit den dabei erhaltenen Anmeldeinformationen des Opfers (Benutzer A) kann er sich bei einem anderen Server anmelden (also diesem gegenüber die Identität des Benutzers A vortäuschen), sofern dieser die gleichen Anmeldedaten verwendet. Das Update fügt allen TLS-Versionen (Transport Layer Security, SSL-Nachfolger) eine erweiterte Unterstützung für die Bindung des Hauptschlüssels hinzu. Diese Schwachstelle ist bereits öffentlich bekannt, entsprechende Angriffsversuche hingegen bislang nicht.

MS15-122 – Kerberos (hoch)
Eine Schwachstelle im Authentifizierungsdienst Kerberos aller Windows-Versionen kann ausgenutzt werden, um eine Sicherheitsfunktion auszutricksen. Durch Umgehen der Kerberos-Authentifizierung könnte ein Angreifer durch BitLocker geschützte Laufwerke entschlüsseln. Dies kann jedoch nur gelingen, wenn BitLocker ohne PIN oder USB-Schlüssel eingerichtet wurde, der Zielcomputer Mitglied einer Domain ist und der Angreifer physischen Zugriff auf den Rechner hat.

MS15-123 – Skype for Business, Lync (hoch)
In Skype for Business 2016 sowie in Lync 2010 und 2013 beseitigt Microsoft eine Schwachstelle, die zur Preisgabe potenziell vertraulicher Informationen führen kann. Ein Angreifer könnte HTML- und Javascript-Inhalte im Skype for Business- oder Lync-Client eines Chat-Partners ausführen.

MS15-099 – Microsoft Office (kritisch)
Microsoft hat dieses Bulletin aus dem September aktualisiert und neue, überarbeitete Updates bereit gestellt. So soll die Sicherheitslücke CVE-2015-2545 umfassend (also gründlicher als bislang) beseitigt werden. Nutzer betroffener Office-Anwendungen sollten die neuen Updates umgehend installieren, um geschützt zu sein.

Außerdem verteilt Microsoft seine kleine Wurmkur, das Windows-Tool zum Entfernen bösartiger Software , in der neuen Version 5.30.

Die Security Bulletins im Überblick:

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

anfällige Software/Komponente(n)

Neustart nötig?

MS15-112

kritisch

1

RCE

Windows (alle); Internet Explorer 7 bis 11

ja

MS15-113

kritisch

1

RCE

Windows 10; Edge

ja

MS15-114

kritisch

1

RCE

Windows Vista, 7, Server 2008 / 2008 R2; Windows Journal

u.U.

MS15-115

kritisch

1

RCE

Windows (alle); Kernelspeicher, Grafikspeicher

ja

MS15-116

hoch

1

RCE

MS Office (alle), Office Web Apps, Outlook Mac-App, SharePoint Server 2007, 2010, 2013, Lync 2013, Skype for Business 2016

u.U.

MS15-117

hoch

2

EoP

Windows Vista, 7, Server 2008 / 2008 R2; NDIS

ja

MS15-118

hoch

1

EoP

Windows (alle); .NET Framework

nein

MS15-119

hoch

2

EoP

Windows (alle); Winsock

ja

MS15-120

hoch

2

DoS

Windows 8.x, RT, Server 2012 / 2012 R2; IPSec

u.U.

MS15-121

hoch

2

Spoofing

Windows (alle außer 10); TLS, SChannel

ja

MS15-122

hoch

2

SFB

Windows (alle außer RT); Kerberos

ja

MS15-123

hoch

2

ID

Lync 2010 / 2013, Skype for Business; HTML, Javascript

u.U.

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
DoS – Denial of Service: Programm/Rechner stürzt ab oder reagiert nicht mehr
ID – Information Disclosure: Datenleck
SFB – Security Feature Bypass: Sicherheitsfunktion umgehen

Ausnutzbarkeit:
1 – Ausnutzung wahrscheinlich
2 – Ausnutzung weniger wahrscheinlich


0 Kommentare zu diesem Artikel
2140047