2133842

Microsoft stopft 29 Lücken in Windows, IE, Edge und Office

14.10.2015 | 10:39 Uhr |

Microsoft hat am Patch Day sechs Security Bulletins veröffentlicht, die insgesamt 29 Schwachstellen behandeln. Kritische Lücken stecken in Windows und im IE.

Der gestrige Update-Dienstag ist etwas bescheidener ausgefallen als in den letzten Monaten. Die Hälfte der sechs Security Bulletins befasst sich mit Sicherheitslücken, die Microsoft als kritisch einstuft. Betroffen sind alle Windows-Versionen sowie der Internet Explorer (IE) 7 bis 11. Die Office-Schwachstellen, die Microsoft diesmal schließt, gelten hingegen nicht als kritisch.

MS15-106 (kritisch)
Mit 14 geschlossenen Sicherheitslücken führt der Internet Explorer die Hitliste einmal mehr an. Mehrere Lücken lassen sich ausnutzen, um Code einzuschleusen und auszuführen. Immerhin ist keine Schwachstelle dabei, die bereits für Angriffe ausgenutzt würde. Die im Bulletin MS15-108 behandelten Lücken in VBScript und JScript betreffen den IE ebenfalls. Das neue kumulative Sicherheits-Update für den IE schließt die Lücken.

MS15-107 (hoch)
Im neuen Edge-Browser für Windows 10 stopft Microsoft im Oktober lediglich zwei Lücken. Eine kann zur Offenlegung von Informationen führen, die andere könnte genutzt werden, um den XSS-Filter zu umgehen.
MS15-108 (kritisch)
Die Unterstützung für VBScript und JScript in Windows Vista und Server 2008 enthält vier Sicherheitslücken. Zwei der Lücken können ausgenutzt werden, um Code einzuschleusen. Dazu müsste ein Angreifer potenzielle Opfer dazu verleiten, eine speziell präparierte Web-Seite mit dem Internet Explorer aufzurufen.

MS15-109 (hoch)
Alle unterstützten Windows-Versionen sind durch zwei als kritisch eingestufte Schwachstellen in der Windows Shell gefährdet. Eine der Lücken kann durch ein präpariertes Symbolleistenobjekt ausgenutzt werden, um Code einzuschleusen und auszuführen. Ein solches Objekt könnte ein Angreifer per Mail senden. Die zweite Schwachstelle steckt im Tablet-Eingabebereich und kann über den Internet Explorer ausgenutzt werden. Dazu müsste ein Angreifer potenzielle Opfer auf eine präparierte Web-Seite locken.

MS15-110 (hoch)
Das Office-Bulletin für Oktober behandelt sechs Schwachstellen, die vor allem Excel und Sharepoint betreffen. Anfällig sind alle Office-Versionen für Windows und Mac, auch Office 2016. Sharepoint Server 2007, 2010 und 2013, deren Excel-Dienste sowie Office Web Apps 2010 und 2013 kommen hinzu. Mehrere der Lücken eignen sich, um mit präparierten Office-Dokumenten Code einzuschleusen und auszuführen.

MS15-111 (kritisch)
Kernkomponenten aller unterstützten Windows-Versionen weisen insgesamt fünf Schwachstellen auf, von denen drei dazu geeignet sind, einem Angreifer höhere Berechtigungen zu verschaffen. Die zwei anderen Lücken betreffen nur Windows ab Version 8 sowie Server ab 2012. Eine kann dazu benutzt werden Sicherheitsfunktionen zu umgehen, etwa um Code-Integritätsprüfungen zu deaktivieren oder Bitlocker zu umgehen.

Außerdem hat Microsoft drei Security Bulletins aus den letzten Monaten aktualisiert, weil es nun auch Updates für das kürzlich erschienene Office 2016 gibt, die in den Bulletins MS15-046 , MS15-081 und MS15-099 behandelte Schwachstellen beseitigen. Ferner verteilt Microsoft wie üblich das Windows-Tool zum Entfernen bösartiger Software in der neuesten Version.

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

anfällige Software/Komponente(n)

Neustartnötig?

MS15-106

kritisch

1

RCE

Windows (alle); Internet Explorer 7 bis 11

ja

MS15-107

hoch

3

ID

Windows 10; Edge

ja

MS15-108

kritisch

1

RCE

Windows Vista, Server 2008; VBScript, JScript

u.U.

MS15-109

kritisch

1

RCE

Windows (alle); Shell

u.U.

MS15-110

hoch

2

RCE

Office (alle, auch für Mac), Sharepoint Server, Office Web Apps

ja

MS15-111

hoch

1

EoP

Windows (alle); Kernel

u.U.

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
ID – Information Disclosure: Datenleck

Ausnutzbarkeit:
1 - Ausnutzung wahrscheinlich
2 - Ausnutzung weniger wahrscheinlich
3 - Ausnutzung unwahrscheinlich


0 Kommentare zu diesem Artikel
2133842