2227018

Vier Zero-Day-Lücken in Windows und Office

12.10.2016 | 09:11 Uhr |

Beim Update-Dienstag im Oktober hat Microsoft 10 neue Security Bulletins veröffentlicht, die insgesamt 36 Sicherheitslücken behandeln. Sie betreffen Windows, Internet Explorer, Edge und Office.

Im Oktober liefert Microsoft erstmals auch für Windows 7 und 8.1 Sammel-Updates wie bei Windows 10 aus. Die Hälfte der zehn neuen Security Bulletins behandelt Schwachstellen, die Microsoft als kritisch einstuft. Darunter sind vier Lücken, die bereits für Angriffe ausgenutzt werden. Zu den 36 Sicherheitslücken in Windows und Office kommt noch ein Update für den integrierten Flash Player, das 12 Lücken stopfen soll. Auch für Windows Server 2016 Technical Preview 5 stellt Microsoft wieder Sicherheits-Updates bereit.

MS16-118 – Internet Explorer (kritisch)
Im Internet Explorer stopft Microsoft 11 Schwachstellen, von denen eine (CVE-2016-3298) bereits für Angriffe ausgenutzt wird. Ein Angreifer, der diese Lücke ausnutzt, kann damit allerdings nur überprüfen, ob auf der Festplatte bestimmte Dateien vorhanden sind. Er müsste den Exploit mit weiteren Schwachstellen kombinieren, um beliebigen Code einschleusen und mit Benutzerrechten ausführen zu können. Für einen erfolgreichen Angriff kann es genügen ein potenzielles Opfer auf eine speziell präparierte Web-Seite zu locken. Die meisten der anderen Lücken wären schon von sich aus geeignet, um eingeschleusten Code auszuführen.

MS16-119 – Edge (kritisch)
Im neuen Browser Edge sind auch diesmal mehr Lücken zu stopfen als im alten Internet Explorer. Sieben der 13 Schwachstellen teilt sich Edge mit seinem Vorgänger. Auch die meisten der Edge-Lücken eignen sich, um Code einzuschleusen und auszuführen. Im Script-Modul steckt eine solche Lücke (CVE-2016-7189), die auch bereits für Angriffe ausgenutzt wird.

MS16-120 – Grafikkomponente (kritisch)
Auch unter den sieben in diesem Bulletin aufgeführten Schwachstellen in allen Windows-Versionen gibt es eine (CVE-2016-3393), die bereits ausgenutzt wird. Sechs der sieben Lücken sind geeignet, um Code einzuschleusen und auszuführen. Die Schwachstellen stecken in Grafikkomponenten wie GDI+ (Graphics Device Interface). Die siebte Lücke erlaubt es einem angemeldeten Benutzer sich höhere Berechtigungen zu verschaffen und beliebigen Code im Kernel-Modus auszuführen. Betroffen sind diverse Microsoft-Produkte von Windows und Office über das .NET Framework bis zu Silverlight, Skype for Business und Lync.

MS16-121 – Microsoft Office (hoch)
Alle unterstützten Versionen von Microsoft Office, einschließlich der Mac-Software, enthalten eine Sicherheitslücke (CVE-2016-7193), die (in Kombination mit andere Lücken) bereits für Angriffe ausgenutzt wird. Betroffen ist im Wesentlichen Word. Mit speziell präparierten RTF-Dateien (Rich Text Format) kann ein Angreifer Code einschleusen und ausführen, wenn ein Benutzer eine solche Datei öffnet. Dies betrifft auch den kostenlos erhältlichen Word Viewer sowie Sharepoint Server, Office Web Apps und Office Online Server.

MS16-122 – Windows Videosteuerung (kritisch)
Die Windows-Komponente Microsoft Video Control weist eine als kritisch eingestufte Schwachstelle auf. Sie ist in allen Windows-Clients vorhanden, nicht jedoch in den Server-Editionen. Ein Angreifer könnte Code einschleusen und mit Benutzerrechten ausführen. Entsprechende Angriffe sind bislang nicht bekannt.

MS16-123 – Kernelmodustreiber (hoch)
Im Kernelmodustreiber Win32k.sys aller Windows-Versionen schließt Microsoft vier Sicherheitslücken, die ein Angreifer nutzen könnte, um sich höhere Berechtigungen zu verschaffen. Er könnte dann Code im Kernelmodus ausführen. Entsprechende Angriffe sind bislang nicht bekannt. Dies gilt ebenso für die fünfte Lücke in diesem Bulletin. Sie betrifft den Transaktionsmanager und könnte es einem lokalen Angreifer ermöglichen Code mit höhere Rechten auszuführen.

MS16-124 – Kernel API (hoch)
Vier Schwachstellen im Kernel API aller Windows-Versionen können es einem lokalen Benutzer erlauben sensible Daten in der Registry auszulesen, auf die er keinen Zugriff haben sollte.

MS16-125 – Diagnose-Hub (hoch)
Der in Windows 10 enthaltene Dienst zum Sammeln von Informationen für den Diagnose-Hub weist eine Sicherheitslücke auf, die ein lokaler Benutzer ausnutzen könnte. Mit Hilfe eines speziellen Programms, das diese Schwachstelle ausnutzt, könnte er Code mit erhöhten Systemrechten ausführen.

MS16-126 – Internet Messaging API (mittel)
Mit CVE-2016-3298 geht es in diesem Bulletin noch einmal um dieselbe Zero-Day-Lücke, die bereits beim Internet Explorer aufgeführt ist. Sie steckt im Internet Messaging API und kann über den Internet Explorer ausgenutzt werden. Für Windows Vista und Server 2008 muss das Update zu diesem Bulletin zusätzlich zum kumulativen Sicherheits-Update für den Internet Explorer installiert werden, um die Lücke zu schließen. Diese Windows-Versionen erhalten weiterhin Einzel-Updates.

MS16-127 – Flash Player (kritisch)
Adobe hat am 11. Oktober ein Sicherheits-Update für den Flash Player veröffentlicht. Im Internet Explorer unter Windows 8 und 10 sowie in Edge ist der Flash Player fest integriert. Das Bulletin bezieht sich auf diesen integrierten Flash Player und die 12 darin gestopften Sicherheitslücken. Die Versionsnummer des Flash Player sollte nach Installation des Updates 23.0.0.185 lauten.

MS16-101 – aktualisiert
Microsoft hat dieses Bulletin aus dem August aktualisiert, um Probleme mit dem zugehörigen Update 3167679 zu behandeln. Betroffen sind Windows Vista und Server 2008.

Außerdem gibt es, wie in jedem Monat, auch im Oktober das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

anfällige Software/Komponente(n)

Neustartnötig?

MS16-118

kritisch

0

RCE

Windows (alle); Internet Explorer

ja

MS16-119

kritisch

0

RCE

Windows 10; Edge

ja

MS16-120

kritisch

0

RCE

Windows (alle), Office, Silverlight; Grafikkomponenten, GDI+

ja

MS16-121

hoch

0

RCE

MS Office (alle, auch Mac); Word, RTF-Dateien

u.U.

MS16-122

kritisch

2

RCE

Windows (alle außer Server); Videosteuerung

ja

MS16-123

hoch

1

EoP

Windows (alle); Kernelmodustreiber (Win32k)

ja

MS16-124

hoch

2

EoP

Windows (alle); Kernel API, Registry

ja

MS16-125

hoch

1

EoP

Windows 10; Diagnose-Hub

ja

MS16-126

mittel

0

ID

Windows Vista. 7, Server 2008, 2008 R2; Internet Explorer, Messaging API

ja

MS16-127

kritisch

RCE

Windows (ab 8.1); Flash Player

ja

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
DoS – Denial of Service: Dienstverweigerung / Software-Absturz
SFB – Security Feature Bypass: Umgehen einer Sicherheitsfunktion

Ausnutzbarkeit:
0 – wird bereits ausgenutzt
1 – Ausnutzung wahrscheinlich
2 – Ausnutzung weniger wahrscheinlich
3 – Ausnutzung unwahrscheinlich


0 Kommentare zu diesem Artikel
2227018