2220978

Patch Day: Microsoft schließt 47 Lücken in IE, Office etc.

14.09.2016 | 08:53 Uhr |

Beim Update-Dienstag im September hat Microsoft 14 neue Security Bulletins veröffentlicht, die insgesamt 47 Sicherheitslücken behandeln. Sie betreffen Windows, Internet Explorer, Edge, Office und Exchange Server.

Im September fällt Microsofts Patch Day wieder deutlich üppiger aus als im Vormonat . Sieben der 14 Security Bulletins befassen sich mit Schwachstellen, die Microsoft als kritisch einstuft. Zu den 47 Sicherheitslücken, die Microsoft selbst zu verantworten hat, kommt noch eine ähnlich hohe Zahl an Schwachstellen, die aus Software von Drittanbietern stammt. Das sind in diesem Fall der integrierte Flash Player sowie Oracle Outside In, das in Exchange Verwendung findet. Auch für Windows Server 2016 Technical Preview 5 stellt Microsoft wieder Sicherheits-Updates bereit.

MS16-104 – Internet Explorer (kritisch)
Für den Internet Explorer stellt Microsoft ein neues kumulatives Sicherheits-Update bereit. Es beseitigt zehn Schwachstellen, von denen zumindest acht als kritisch eingestuft sind. Ein Angreifer, der eine der Lücken ausnutzt, kann beliebigen Code einschleusen und mit Benutzerrechten ausführen. Für einen erfolgreichen Angriff kann es genügen ein potenzielles Opfer auf eine speziell präparierte Web-Seite zu locken.

MS16-105 – Edge (kritisch)
Im neuen Browser Edge sind diesmal mehr Lücken zu stopfen als im alten Internet Explorer. Sechs der 12 Schwachstellen teilt sich Edge zudem mit seinem Vorgänger. Auch die meisten der Edge-Lücken eignen sich, um Code einzuschleusen und auszuführen.

MS16-106 – Grafikkomponente (kritisch)
Wie bereits in den vorherigen Monaten muss Microsoft wieder Lücken in den Grafikkomponenten des Betriebssystems flicken. Zwei Schwachstellen betreffen den Kernelmodustreiber win32k.sys und könnten durch einen Angreifer genutzt werden, um sich höhere Rechte zu verschaffen. Drei Lücken betreffen die zentrale Grafikschnittstelle GDI (Graphics Device Interface). Nur eine der Schwachstellen ist als kritisch eingestuft. Ein Angreifer könnte über eine speziell präparierte Web-Seite Code einschleusen und ausführen. Eine zweite GDI-Lücke ermöglicht es auf potenziell vertrauliche Informationen zuzugreifen, die dritte Lücke verschafft einem Angreifer im Erfolgsfall höhere Berechtigungen.

MS16-107 – Office (kritisch)
Auch Microsofts Office-Pakete sind stets für kritische Sicherheitslücken gut. In diesem Monat verteilen sich 13 Schwachstellen über die gesamte Office-Palette, von Office 2007 bis Office 2016, einschließlich der Versionen für Apples OS X. Fast alle sind geeignet, um mit präparierten Office-Dokumenten Code einschleusen. Abgesehen von Access sind alle gängigen Office-Anwendungen (Word, Excel, Powerpoint, Visio, Outlook), auch wenn sie einzeln installiert sind, für die eine oder andere Angriffsmöglichkeit anfällig.

MS16-108 – Exchange Server (kritisch)
Im Exchange Server 2007 bis 2016 schließt Microsoft drei Sicherheitslücken. Nur die Version 2016 ist durch alle drei Lücken betroffen. Sie können zur Offenlegung von Informationen, zur Erhöhung von Berechtigungen oder für Spoofing-Attacken genutzt werden. Als kritisch ist dieses Bulletin eingestuft, weil Microsoft ein Update für Oracle Outside In ausliefert. Diese Bibliotheken des Datenbankherstellers weisen 18 Schwachstellen auf, von denen 11 geeignet sind, um Code einzuschleusen und auszuführen. Oracle hatte diese Lücken mit seinen Quartals-Updates im Juli gestopft.

MS16-109 – Silverlight (hoch)
In Microsofts glücklosem und daher nicht mehr weiterentwickelten Flash-Surrogat Silverlight schließt der Hersteller eine Lücke, deren Ausnutzung es einem Angreifer ermöglichen kann Code einzuschleusen und auszuführen. Dazu genügt der Besuch einer Web-Seite, die eine präparierte Silverlight-Anwendung enthält. Das Update hebt Silverlight auf die Versionsnummer 5.1.50709.0. Die Schwachstelle kann auch Mac-Rechner betreffen, sofern Silverlight installiert ist.

MS16-110 – Windows (hoch)
Dieses Bulletin fasst vier Schwachstellen zusammen, deren gemeinsames Merkmal eine fehlerhafte Verarbeitung von Anmeldedaten ist. Windows 10 ist durch alle vier Lücken betroffen, andere Windows-Versionen nur durch eine oder zwei. Gerade die gravierendste der vier Lücken betrifft jedoch alle Windows-Versionen. Sie kann ausgenutzt werden, um Code einzuschleusen und mit erhöhten Berechtigungen auszuführen. Eine bereits öffentlich bekannte Schwachstelle im NT LAN Manager kann Brute-Force-Angriffe auf den Passwort-Hash ermöglichen.

MS16-111 – Windows Kernel (hoch)
Hier geht es um fünf Schwachstellen in Windows-Kernel, die ausgenutzt werden könnten, um sich höhere Rechte zu verschaffen. Vier der Lücken betreffen alle Windows-Versionen, eine nur Vista und Server 2008 sowie Server Core-Installationen.

MS16-112 – Windows-Sperrbildschirm (hoch)
In Windows 8 und höher stopft Microsoft eine Lücke, durch die Web-Inhalte auf dem Sperrbildschirm geladen werden können. Ein Angreifer mit physischen Zugriff auf den Rechner könnte auf dem gesperrten PC Code ausführen. Dazu müsste er eine neue Verbindung ins Internet herstellen, etwa über einen präparierten WLAN-Hotspot oder einen mobilen Netzwerkadapter. Das Update zu diesem Bulletin verhindert das Laden von Web-Inhalten aus dem Sperrbildschirm.

MS16-113 – sicherer Windows-Kernelmodus (hoch)
Eine Schwachstelle im sicheren Windows-Kernelmodus (Secure Kernel Mode) kann zur Offenlegung von Informationen führen. Betroffen sind Version von Windows 10 bis 1511. Windows 10 mit dem aktuellen "Anniversary Update", das die Versionsnummer auf 1607 hebt, ist laut Microsoft nicht anfällig.

MS16-114 – SMBv1-Server (hoch)
Das Update zu diesem Bulletin behebt eine Schwachstelle im Microsoft Server Message Block 1.0 (SMBv1)-Server aller Windows-Versionen. Bei Windows 7 und Vista sowie Server 2008 und 2008 R2 kann ein Angreifer über präparierte Datenpakete Code einschleusen und ausführen. Ab Windows 8.1 und Server 2012 würde ein solcher Versuch lediglich in einen DoS-Angriff münden.

MS16-115 – PDF-Bibliothek (hoch)
In Windows ab 8.x ist eine Programmbibliothek enthalten, die das Anzeigen von PDF-Dateien ermöglicht. Darin beseitigt Microsoft zwei Sicherheitslücken, die zur Offenlegung von Informationen führen können. Für Windows 10 sind die Korrekturen in der Edge-Komponente enthalten, die Teil des kumulativen Sicherheits-Updates ist.

MS16-116 – VBScript (kritisch)
Microsofts OLE-Automatisierungsmechanismus und das VBScript-Skriptmodul in Internet Explorer enthalten einen Fehler beim Zugriff auf Objekte im Speicher. Ein Angreifer, der einen Benutzer zum Besuch einer speziell präparierten Web-Seite mit dem Internet Explorer verleitet, kann Code einschleusen und mit den Rechten des Benutzers ausführen. Beachten Sie, dass Sie zum Schutz vor einem solchen Angriff sowohl das Sicherheits-Update für den Internet Explorer (MS16-104) als auch das Update zu diesem Bulletin installieren müssen.

MS16-117 – Flash Player (kritisch)
Adobe hat am 13. September ein Sicherheits-Update für den Flash Player veröffentlicht. Im Internet Explorer unter Windows 8 und 10 sowie in Edge ist der Flash Player fest integriert. Dieses Bulletin bezieht sich auf diesen integrierten Flash Player und die darin gestopften Sicherheitslücken. Microsoft führt 26 Lücken auf, Adobe listet in seinem Security Bulletin APSB16-29 deren 29. Die Versionsnummer des Flash Player sollte nach Installation des Updates 23.0.0.162 lauten.

Außerdem gibt es, wie in jedem Monat, auch im September das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

anfällige Software/Komponente(n)

Neustart nötig?

MS16-104

kritisch

1

RCE

Windows (alle); Internet Explorer

ja

MS16-105

kritisch

1

RCE

Windows 10; Edge

ja

MS16-106

kritisch

1

RCE

Windows (alle); Win32k.sys, GDI

ja

MS16-107

kritisch

2

RCE

MS Office (alle, inkl. Mac); alle Anwendungen außer Access

u.U.

MS16-108

kritisch

2

RCE

Exchange Server (alle); Open Redirect, Oracle Outside In

u.U.

MS16-109

hoch

3

RCE

Windows (alle), Mac; Silverlight 5

nein

MS16-110

hoch

1

RCE

Windows (alle); NT LAN Manager (NTLM)

ja

MS16-111

hoch

2

EoP

Windows (alle); Kernel

ja

MS16-112

hoch

3

EoP

Windows 8 und höher; Sperrbildschirm

ja

MS16-113

hoch

3

ID

Windows 10 bis 1511; sicherer Windows-Kernelmodus

ja

MS16-114

hoch

3

RCE / DoS

Windows (alle); SMBv1-Server

ja

MS16-115

hoch

1

ID

Windows 8 und höher; PDF-Bibliothek

u.U.

MS16-116

kritisch

2

ID

Windows (alle); VBScript

ja

MS16-117

kritisch

RCE

Windows 8 und höher; integrierter Flash Player

ja

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
DoS – Denial of Service: Dienstverweigerung / Software-Absturz
SFB – Security Feature Bypass: Umgehen einer Sicherheitsfunktion

Ausnutzbarkeit:
0 – wird bereits ausgenutzt
1 – Ausnutzung wahrscheinlich
2 – Ausnutzung weniger wahrscheinlich
3 – Ausnutzung unwahrscheinlich


0 Kommentare zu diesem Artikel
2220978