2175864

Microsoft stopft 36 Lücken in Windows, Browser und Office zum Patch Day

10.02.2016 | 09:03 Uhr |

Microsoft hat beim Update-Dienstag in diesem Monat 13 Security Bulletins veröffentlicht. Sechs Bulletins behandeln als kritisch eingestufte Sicherheitslücken. Sie betreffen Windows, Edge, den Internet Explorer und Office.

Kurz vor Aschermittwoch hat Microsoft 13 neue Security Bulletins veröffentlicht, die 36 Schwachstellen behandeln. Neben Lücken in Windows, im Internet Explorer (IE), in Edge und in Office, die Microsoft als kritisch einstuft, sind darunter Schwachstellen im .NET Framework, in WebDAV, Active Directory-Verbunddiensten, RADIUS-Server sowie einmal mehr im Remote Desktop Protokoll. Ab diesem Jahr bekommen die Updates für den integrierten Flash Player offenbar ein eigenes Security Bulletin statt wie bisher nur ein Advisory.

MS16-009 – Internet Explorer 9 bis 11 (kritisch)
Internet Explorer 7 und 8 gehören nun zum alten Eisen – sie erhalten keine Updates mehr. Der IE 9 wird nur noch unter Vista unterstützt, der IE 10 nur noch unter Server 2012. Jede Windows-Ausgabe bekommt nur noch Updates für die jeweils neuste verfügbare IE-Version. Zu stopfende Lücken gibt es weiterhin genug: in diesem Monat sind es deren 13. Von diesen sind neun als kritisch anzusehen, da sie es einem Angreifer ermöglichen können Code einzuschleusen und auszuführen.

MS16-010
Dieses Bulletin ist bereits im Januar erschienen.

MS16-011 – Edge (kritisch)
Im neuen Browser für Windows 10 muss Microsoft auch wieder reichlich Lücken schließen. In diesem Monat sind es sechs, von denen sich Edge vier mit dem IE teilt. Ebenfalls vier Lücken, wenn auch nicht genau die gleichen, können einem Angreifer erlauben Code einzuschleusen und auszuführen.

MS16-012 – Windows Reader, PDF (kritisch)
Microsofts PDF-Bibliothek in Windows 8.1 sowie Server 2012 und 2012 R2 enthält eine Schwachstelle, die ein Angreifer ausnutzen kann, um eingeschleusten Code auszuführen. Der Windows Reader, enthalten in den vorgenannten Windows-Versionen sowie in Windows 10, weist eine artverwandte Sicherheitslücke auf. 

MS16-013 – Windows Journal (kritisch)
Eine als kritisch eingestufte Sicherheitslücke im Windows Journal betrifft alle Windows-Versionen außer RT. Öffnet ein Benutzer eine speziell präparierte Journal-Datei, kann eingeschleuster Code mit den Rechten des angemeldeten Benutzers ausgeführt werden.

MS16-014 – Windows (hoch)
In dieses Bulletin hat Microsoft fünf Windows-Schwachstellen gepackt, die nicht alle zusammenpassen. Drei der Lücken entstehen dadurch, dass Windows DLLs (Programmbibliotheken) ungeprüft lädt. Dadurch kann ein Angreifer eingeschleusten Code ausführen. Derartige Schwachstellen hat Microsoft bereits im letzten Jahr mehrfach schließen müssen. Hinzu kommt eine Lücke im Kernel der Windows-Versionen Vista, 7 und Server 2008, durch die sich ein Angreifer höhere Berechtigungen verschaffen kann. Die fünfte Lücke steckt im Kerberos-Dienst, der eine Passwortänderung durch den Benutzer nicht sorgfältig genug prüft. Dies ermöglicht es einem Angreifer die Kerberos-Authentifizierung zu umgehen.

MS16-015 – Microsoft Office (kritisch)
Das Office-Bulletin behandelt sechs Sicherheitslücken, die sich auf alle Office-Versionen verteilen, einschließlich der Mac-Ausgaben. Mit präparierten Office-Dokumenten, etwa Word- oder Excel-Dateien kann ein Angreifer Speicherfehler provozieren, durch die eingeschleuster Code ausgeführt wird. Bei drei der Lücken genügt dazu bereits die Vorschau in Outlook, wenn die Datei als Mail-Anhang herein kommt. Zu den sechs Office-Schwachstellen kommt noch eine XSS-Lücke in Sharepoint-Server 2007, 2010 und 2013, die bereits öffentlich bekannt ist.

MS16-016 – WebDAV (hoch)
Der WebDAV-Client (Web Distributed Authoring and Versioning) aller unterstützten Windows-Versionen enthält eine Sicherheitslücke, über die sich ein Angreifer höhere Berechtigungen verschaffen kann.

MS16-017 – RDP-Bildschirmtreiber (hoch)
Ist RDP (Remote Desktop Protokoll) in Windows 7, 8.1 und 10 sowie Server 2012 und 2012 R2 aktiviert, kann sich ein Angreifer höhere Berechtigungen verschaffen. Dazu muss er speziell präparierte Daten per RDP übertragen. Standardmäßig ist RDP auf allen Windows-Systemen deaktiviert.

MS16-018 – Kernelmodustreiber (hoch)
Im Kernelmodustreiber (win32k.sys) aller Windows-Versionen (auch 64 Bit) steckt eine Lücke, die ein Angreifer ausnutzen kann, um höhere Berechtigungen zu erlangen. Dazu muss er sich am System anmelden und ein speziell präpariertes Programm ausführen. Dann könnte er im Kernelmodus beliebigen Code ausführen und die volle Kontrolle über das System übernehmen.

MS16-019 – .NET Framework (hoch)
Sicherheits-Updates für das .NET Framework beseitigen eine DoS-Lücke und ein Datenleck. Betroffen sind alle unterstützten Windows-Versionen mit den zugehörigen Versionen des .NET Framework.

MS16-020 – Active Directory-Verbunddienste (hoch)
In den Active Directory-Verbunddiensten (AD FS) für Windows Server 2012 R2 behebt Microsoft eine DoS-Lücke (Denial of Service).

MS16-021 – NPS-RADIUS-Server (hoch)
Eine Schwachstelle in Windows Server 2008, 2008 R2, 2012 und 2012 R2 kann einen DoS-Angriff ermöglichen. Arbeitet das System als  Netzwerkrichtlinienserver (NPS: Network Policy Server) kann ein Angreifer durch Senden eines Benutzernamens, der spezielle Zeichen enthält, eine RADIUS-Authentifizierung verhindern.

MS16-022 – Flash Player (kritisch)
In diesem Bulletin geht es um den Flash Player, der im Internet Explorer 10 und 11 (ab Windows 8.1) sowie in Edge (Windows 10) integriert ist. Die Schwachstellen sind allerdings die gleichen wie in der ActiveX-Fassung und dem Plug-in für andere Browser. Das Update auf Flash Player 20.0.0.306 beseitigt insgesamt 22 als kritisch eingestufte Sicherheitslücken, die Adobe in seinem Security Bulletin APSB16-04 beschreibt.

Microsoft hat zudem eine Sicherheitsempfehlung veröffentlicht, die sich mit Schwachstellen in ASP.NET-Vorlagen befasst. Außerdem verteilt Microsoft sein Windows-Tool zum Entfernen bösartiger Software in der neuen Version 5.33.

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

anfällige Software/Komponente(n)

Neustartnötig?

MS16-009

kritisch

1

RCE

Windows (alle); Internet Explorer 9 bis 11

ja

MS16-011

kritisch

1

RCE

Windows 10; Edge

ja

MS16-012

kritisch

1

RCE

Windows (ab 8.1, Server 2012); Windows Reader, PDF-Bibliothek

u.U.

MS16-013

kritisch

2

RCE

Windows (alle außer RT); Journal

u.U.

MS16-014

hoch

1

RCE

Windows (alle); diverse Komponenten

ja

MS16-015

kritisch

2

RCE

Microsoft Office (alle, auch Mac), Sharepoint Server 2007/2010/2013; Excel, Word, Viewer

u.U.

MS16-016

hoch

2

EoP

Windows (alle); WebDAV

u.U.

MS16-017

hoch

2

EoP

Windows (ab 7, Server 2012); Remote Desktop Protocol (RDP 8.0)

ja

MS16-018

hoch

2

EoP

Windows (alle); Kernelmodustreiber (win32k.sys)

ja

MS16-019

hoch

2

DoS/ID

Windows (alle); .NET Framework

u.U.

MS16-020

hoch

2

DoS

Windows Server 2012 R2; Active Directory-Verbunddienste (ADFS)

u.U.

MS16-021

hoch

2

DoS

Windows Server (alle); NPS RADIUS Server

u.U.

MS16-022

kritisch

RCE

Windows (ab 8.x); IE, Edge, Flash Player

ja

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
DoS - Denial of Service: Dienstverweigerung / Software-Absturz

Ausnutzbarkeit:
0 – wird bereits ausgenutzt
1 – Ausnutzung wahrscheinlich
2 – Ausnutzung weniger wahrscheinlich
3 – Ausnutzung unwahrscheinlich


0 Kommentare zu diesem Artikel
2175864