2348454

Microsoft beseitigt 0-Day-Lücken in Windows

09.05.2018 | 08:47 Uhr |

Beim Patch Day im Mai schließt Microsoft 68 Sicherheitslücken in seinen Produkten. Darunter sind 22 Schwachstellen, die Microsoft als kritisch einstuft. Diese betreffen Windows, den Internet Explorer, Edge und Exchange.

Auch in diesem Monat hat Microsoft beim Update-Dienstag wieder ein großes Paket mit Sicherheits-Updates geschnürt. Die gestern veröffentlichten Sicherheits-Updates beheben insgesamt 68 Schwachstellen in Windows und Office, etwas mehr als im Vormonat . Die 22 gestopften Lücken, die Microsoft als kritisch einstuft, betreffen die Browser Edge und Internet Explorer sowie Windows, Virtualisierungslösungen und Exchange. Zwei Schwachstellen werden bereits für Angriffe ausgenutzt, zwei weitere Lücken waren bereits vorab bekannt. Für 44 Schwachstellen weist Microsoft die Risikoeinstufung hoch aus. Darunter sind 14 Office-Lücken. Ein Update für den integrierten Flash Player schließt eine weitere Lücke.

Internet Explorer
Für den IE 9 bis 11 gibt es eine neues kumulatives Sicherheits-Update (KB4103768). Damit behebt Microsoft in diesem Monat neun IE-Schwachstellen, von denen sechs als kritisch eingestuft sind. Die Mehrzahl steckt einmal mehr in der Scripting Engine (Javascript). Der IE teilt sich fünf Lücken mit Edge.

Edge
Im Browser Edge stopft Microsoft in diesem Monat 19 Sicherheitslücken, fast doppelt so viele wie im Vormonat. Von diesen stuft Microsoft 13 Lücken als kritisch ein. Auch bei Edge gehen die meisten kritischen Schwachstellen auf das Konto der Scripting Engine Chakra, betreffen also Javascript.

Office
In seiner Office-Produktfamilie beseitigt Microsoft 14 Schwachstellen mit der Risikoeinstufung hoch. Sechs dieser Lücken sind geeignet, um Code einzuschleusen und auszuführen. Sie gelten für Microsoft dennoch nicht als kritisch, weil ein Anwender mitwirken muss, indem er eine präparierte Datei öffnet. Diese kann zum Beispiel als Mail-Anhang auf den Rechner gelangen. Drei solcher Lücken betreffen Excel. Vier Schwachstellen können es einem Angreifer ermöglichen, sich auf einem Sharepoint Server höhere Rechte zu verschaffen.

Windows
Die Mehrzahl der übrigen Lücken verteilt sich auf die verschiedenen Windows-Versionen. Die als kritisch eingestufte VBScript-Lücke CVE-2018-8174 wird bereits für Angriffe ausgenutzt. Neben dem Web-basierten Angriffsszenario könnte ein Angreifer auch ein ActiveX-Element in ein Office-Dokument einbetten, das die anfällige IE-Komponente beherbergt. Dies ähnelt frappierend einer im April gestopften VBScript-Lücke (CVE-2018-1004).

In der Virtualisierungs-Software Hyper-V stopft Microsoft zwei als kritisch eingestufte Lücken. Das bedeutet, dass ein im Gastsystem laufendes Programm beliebigen Code auf dem Wirtssystem ausführen könnte. Ebenfalls kritisch ist eine Schwachstelle (CVE-2018-8115) im Windows Host Compute Service Shim, einer quelloffenen Software-Zwischenschicht für Container-Virtualisierungslösungen wie Docker, die auf der Programmiersprache Go basieren.

Sieben Kernellücken erlauben es einem Angreifer sich höhere Rechte zu verschaffen. Eine dieser Schwachstellen (CVE-2018-8120) wird bereits durch Malware ausgenutzt. Die übrigen sechs Lücken könnten in näherer Zukunft ebenfalls genutzt werden, sollten also möglichst bald durch die bereit stehenden Updates geschlossen werden. Mit speziell präparierten Dateien oder Scripten könnte ein Angreifer eine Schwachstelle in COM für Windows (CVE-2018-0824) ausnutzen, um Code einzuschleusen und auszuführen.

Exchange
Im Exchange Server behebt Microsoft insgesamt fünf Sicherheitslücken. Eine der Schwachstellen (CVE-2018-8154) ist als kritisch eingestuft. Mit einer speziell präparierten Mail könnte ein Angreifer Code einschleusen und mit Systemrechten ausführen. Anfällig dafür sind Exchange Server 2010, 2013 und 2016. Zwei weitere Schwachstellen könnten genutzt werden, um sich höhere Rechte zu verschaffen. Ein Datenleck und eine Spoofing-Lücke komplettieren die Exchange-Schwachstellen in diesem Monat.

Flash Player
Für den im Internet Explorer (ab Windows 8) und in Edge integrierten Flash Player reicht Microsoft ein Adobe-Update durch. Es beseitigt eine als kritisch eingestufte Schwachstelle. Der neue Flash Player trägt die Versionsnummer 29.0.0.171.

Schließlich gibt es, wie in jedem Monat, auch im Mai das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 12. Juni.


PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2348454