2195710

Microsoft schließt Zero-Day-Lücke im Internet Explorer

11.05.2016 | 09:19 Uhr |

Beim Update-Dienstag für den Monat Mai hat Microsoft 16 Security Bulletins veröffentlicht, die 33 Sicherheitslücken behandeln. Acht Bulletins befassen sich mit als kritisch eingestuften Schwachstellen.

Am 10. Mai hat Microsoft seinen monatlichen Patch Day abgehalten und 16 Security Bulletins veröffentlicht. Sie behandeln insgesamt 33 Sicherheitslücken (ohne die im Flash Player), darunter als kritisch eingestufte Lücken in Windows, im Internet Explorer (IE), in Edge sowie in Microsoft Office. Außerdem dokumentiert eines der Bulletins ein Update für den Flash Player, der seit Windows 8 im IE und bei Windows 10 auch in Edge integriert ist. Einige der Schwachstellen betreffen auch Windows Server 2016 Technical Preview, die kommende Server-Ausgabe von Windows 10, für die es ebenfalls Updates gibt.

MS16-051 – Internet Explorer (kritisch)
Im Internet Explorer beseitigt ein neues kumulatives Sicherheits-Update fünf Schwachstellen. Zwei der Lücken (CVE-2016-0187, CVE-2016-0189) stecken im Script-Modul des Betriebssystems und sind über den IE ausnutzbar, um Code einzuschleusen und auszuführen. In einem Fall (CVE-2016-0189) geschieht dies bereits, wie Microsoft berichtet.

MS16-052 – Edge (kritisch)
Im neuen Browser Edge für Windows 10 schließt Microsoft vier Sicherheitslücken, eine teilt sich Edge mit dem IE. Alle sind ausnutzbar, um Code einzuschleusen und auszuführen. Entsprechende Web-Angriffe auf Edge sind jedoch bislang nicht bekannt.

MS16-053 – JScript und VBScript (kritisch)
In diesem Bulletin werden die beiden bereits beim IE erwähnten Schwachstellen im Script-Modul noch einmal separat behandelt. Dies geschieht, weil das IE-Update nur den IE 9 bis 11 abdichtet. Systeme mit älteren IE-Versionen, namentlich Vista oder Server 2008, werden mit dem Update zu diesem Bulletin mit einem aktualisierten Script-Modul versorgt.

MS16-054 – Microsoft Office (kritisch)
In Microsoft Office 2007 bis 2016, einschließlich der Versionen für Mac, beseitigt der Hersteller insgesamt vier Sicherheitslücken, die ebenfalls geeignet sind, um eingeschleusten Code auszuführen. Ein Angreifer könnte dazu etwa ein speziell präpariertes Word-Dokument per Mail versenden oder im Web zum Download anbieten. Keine der vier Lücken betrifft alle Office-Versionen.

MS16-055 – Windows-Grafikkomponente (kritisch)
Alle unterstützten Windows-Versionen, von Vista bis Windows 10 sowie Server 2008 bis 2012 R2, enthalten Schwachstellen in der für die Grafikausgabe zuständigen Systemkomponente (GDI) sowie in Direct3D. Drei der fünf Lücken, die Microsoft in diesem Bulletin abhandelt, eignen sich, um Code einzuschleusen und auszuführen. Die beiden anderen Lücken können zur Offenlegung von Informationen führen.

MS16-056 – Journal (kritisch)
Eine weitere Lücke im Windows Journal betrifft alle Desktop-Versionen des Betriebssystems sowie Windows RT. Öffnet ein Benutzer eine speziell präparierte Journal-Datei, kann eingeschleuster Code zur Ausführung mit Benutzerrechten gelangen. Dass Angreifer dies versuchen könnten, hält Microsoft jedoch für eher unwahrscheinlich.

MS16-057 – Shell (kritisch)
Weil die Windows-Shell Objekte im Speicher nicht immer ordnungsgemäß verarbeitet, kann ein Angreifer Code einschleusen und ausführen. Er muss dazu einen Benutzer auf eine vorbereitete Web-Seite locken, die präparierte Inhalte lädt. Anfällig sind Windows 8.1 und 10, Server 2012 R2 sowie Windows RT 8.1.

MS16-058 – IIS (hoch)
Der mitgelieferte Web-Server-Dienst (IIS) in Windows Vista und Server 2008 enthält eine Schwachstelle, die einmal mehr darauf basiert, dass Programmbibliotheken (DLLs) ungeprüft geladen werden. Derartige Lücken hat Microsoft in den letzten Jahren bereits Dutzende gestopft – ein Ende ist jedoch nicht abzusehen. Der Fehler besteht regelmäßig darin, dass ein Programm eine DLL aus dem aktuellen Verzeichnis lädt, von dem aus es aufgerufen wurde. Das kann auch eine Netzwerkfreigabe sein. Platziert ein Angreifer dort eine präparierte Fassung der DLL, wird diese geladen und eingeschleuster Code ausgeführt. Die Abhilfe besteht darin, dass ein Programm DLLs nur aus ganz bestimmten Verzeichnissen lädt, etwa seinem Programmverzeichnis oder dem Windows-Verzeichnis.

MS16-059 – Media Center (hoch)
Das Windows Media Center ist in Windows 10 nicht mehr enthalten und auch frühere Windows-Versionen (Vista, 7, 8.x) enthalten es nicht immer. Soweit vorhanden, weist es eine Sicherheitslücke auf, die ein Angreifer mit Hilfe einer präparierten MCL-Datei ausnutzen könnte. Öffnet ein Benutzer eine solche Media Center Link-Datei, wird eingeschleuster Code mit Benutzerrechten ausgeführt.

MS16-060 – Windows Kernel (hoch)
In allen unterstützten Windows-Versionen beseitigt Microsoft eine Schwachstelle, durch deren Ausnutzung ein Angreifer höhere Berechtigungen erlangen könnte. Ursache ist ein Fehler bei der Analyse bestimmter symbolischer Verknüpfungen. Um dies auszunutzen, muss sich ein Angreifer zunächst als Benutzer anmelden. Im Erfolgsfall könnte er Zugriff auf privilegierte Registry-Schlüssel erhalten und sich höhere Rechte verschaffen.

MS16-061 – RPC (hoch)
Eine Sicherheitslücke in allen unterstützten Windows-Versionen betrifft die Verarbeitung von RPC-Nachrichten (Remote Procedure Call). Sendet ein Angreifer, der nicht am System angemeldet sein muss, manipulierte RPC-Anforderungen an einen anfälligen Windows-Rechner, kann er sich höhere Berechtigungen verschaffen und mit diesen beliebigen Code ausführen. Er könnte so die Kontrolle über das System erlangen.

MS16-062 - Kernelmodustreiber (hoch)
Dieses Bulletin behandelt insgesamt sieben Schwachstellen in allen Windows-Versionen. Fünf Lücken betreffen der Kernelmodustreiber win32k.sys, zwei das DirectX-Grafikkernelsubsystem. Ein Angreifer, der eine dieser Schwachstellen ausnutzt, kann beliebigen Code mit den Rechten des Systemkerns ausführen und hat so die volle Kontrolle über das System.

MS16-063 – bislang unveröffentlicht

MS16-064 - Flash Player (kritisch)
Im Internet Explorer 10 und 11 (ab Windows 8) ist der Flash Player fest integriert (kein installierbares ActiveX-Modul), ebenso in Edge. Für diesen Flash Player kündigt Microsoft mit diesem Bulletin ein Sicherheits-Update an, das 24 Lücken beseitigen soll. Microsoft bezieht sich dabei auf ein bislang noch nicht veröffentlichtes Adobe Security Bulletin (APSB16-15). Adobe hat bislang nur eine Sicherheitsmeldung veröffentlicht, in der es ein Flash-Update für morgen, Donnerstag, den 12. Mai ankündigt. Es soll eine bereits für Angriffe ausgenutzte Flash-Lücke schließen.

MS16-065 – .NET Framework (hoch)
Im .NET Framework, einer Laufzeitumgebung für Windows-Programme, schließt Microsoft eine Schwachstelle, deren Ausnutzung zur Offenlegung vertraulicher Informationen führen kann. Dazu müsste ein Angreifer letztlich einen Man-in-the-Middle-Angriff zwischen dem Client und einem Server ausführen. Microsoft hält es für unwahrscheinlich, dass diese Lücke ausgenutzt werden kann oder wird.

MS16-066 – Hypervisor (hoch)
In Windows 10 ist die Virtualisierungslösung Hypervisor enthalten. In dieser steckt eine Sicherheitslücke, die es einem Angreifer erlaubt eine Sicherheitsfunktion zu umgehen. Dazu müsste er ein Programm schreiben, mit dem er die vorhandenen (fehlerhaften) Mechanismen zum Schutz der Code-Integrität austricksen kann. Dieser Schutz sollte eigentlich verhindern, dass bestimmte Speicherseiten des Kernelmodus gleichzeitig les-, schreib- und ausführbar sind (RWX - read, write, execute). Zulässig sind an sich nur die Kombinationen R-X und RW-, wenn der Schutz aktiviert ist. Einen artverwandten Schutz hat Mozilla im JIT-Compiler des aktuellen Firefox 46 eingeführt.

MS16-067 – (hoch)
Das Sicherheits-Update zu diesem Bulletin stellt sicher, dass nicht per RDP (Remote Desktop Protokoll, Fernwartung) über RemoteFX auf USB-Laufwerke zugegriffen werden kann. Ein solcher Zugriff sollte nur dann möglich sein, wenn der Benutzer des Rechners, auf den aus der Ferne zugegriffen wird, dies auch ausdrücklich zulässt.

Außerdem stellt Microsoft auch im Mai eine aktualisierte Fassung seines Windows-Tool zum Entfernen bösartiger Software bereit. Microsoft stellt an sofort nicht mehr alle Sicherheits-Updates über sein Download-Center bereit.

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

anfällige Software/Komponente(n)

Neustartnötig?

MS16-051

kritisch

0

RCE

Windows (alle); Internet Explorer 9 bis 11

ja

MS16-052

kritisch

1

RCE

Windows 10; Edge

ja

MS16-053

kritisch

0

RCE

Windows (Vista, Server 2008); JScript, VBScript

u.U.

MS16-054

kritisch

1

RCE

MS Office (alle, inkl. Mac); Word, Word Viewer

u.U.

MS16-055

kritisch

1

RCE

Windows (alle); Grafikkomponente, Direct3D

ja

MS16-056

kritisch

3

RCE

Windows (alle außer Server); Journal

u.U.

MS16-057

kritisch

2

RCE

Windows 8.1, 10, RT 8.1, Server 2012 R2; Shell

ja

MS16-058

hoch

2

RCE

Windows (Vista, Server 2008); IIS

ja

MS16-059

hoch

2

RCE

Windows Vista, 7, 8.1; Media Center

u.U.

MS16-060

hoch

2

EoP

Windows (alle); Kernel

ja

MS16-061

hoch

2

EoP

Windows (alle); RPC

ja

MS16-062

hoch

1

EoP

Windows (alle); Kernelmodustreiber (win32k.sys)

ja

MS16-063

bislang unveröffentlicht

MS16-064

kritisch

1

RCE

Windows (ab 8, Server 2012); IE, Edge, Flash Player

ja

MS16-065

hoch

3

ID

Windows (alle); .NET Framework, TLS/SSL

u.U.

MS16-066

hoch

3

SFB

Windows 10; Hypervisor

ja

MS16-067

hoch

3

ID

Windows 8.1, RT 8.1, Server 2012, ~ R2); RDP, Volume-Manager-Treiber

u.U.

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
DoS – Denial of Service: Dienstverweigerung / Software-Absturz
SFB – Security Feature Bypass: Umgehen einer Sicherheitsfunktion

Ausnutzbarkeit:
0 – wird bereits ausgenutzt
1 – Ausnutzung wahrscheinlich
2 – Ausnutzung weniger wahrscheinlich
3 – Ausnutzung unwahrscheinlich


0 Kommentare zu diesem Artikel
2195710