2407996

Microsoft beseitigt fünf 0-Day-Lücken

13.02.2019 | 08:46 Uhr | Frank Ziemann

Beim Update-Dienstag im Februar hat Microsoft 77 Schwachstellen behoben. Kritische Lücken stecken in Windows, Edge, IE und Office.

Die beim Microsoft Patch Day im Februar bereitgestellten Updates sollen insgesamt 77 Sicherheitslücken schließen. Darunter sind 20 Schwachstellen, die Microsoft als kritisch einstuft. Sie betreffen Windows, die Browser Edge und Internet Explorer (IE) sowie Sharepoint. Weitere 54 Lücken stuft Microsoft als hohes Risiko ein, darunter vier, die bereits vorab öffentlich bekannt waren und eine IE-Lücke, die schon für Angriffe genutzt wird. Details zu allen Lücken bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI oder Cisco Talos das Thema Patch Day auf.

Internet Explorer (IE)
Das neue kumulative Sicherheits-Update (KB4486474) für den Internet Explorer 9 bis 11 beseitigt im Februar drei Schwachstellen in dem mächtig in die Jahre gekommenen Browser. Eine der Lücken (CVE-2019-0606) ist als kritisch eingestuft. Ein Datenleck (CVE-2019-0676) stuft Microsoft zwar nur als hohes Risiko ein, es wird jedoch bereits für Angriffe ausgenutzt. Eine Spoofing-Lücke (CVE-2019-0654) teilt sich der IE mit Edge.

Edge
Im Browser Edge hat Microsoft im Februar 21 Lücken gestopft, von denen der Hersteller 14 als kritisch einstuft. Die Scripting Engine „Chakra“ ist auch diesmal in vielen Fällen die Fehlerquelle. Chakra und Edge behandeln Speicherobjekte nicht korrekt und ermöglichen es so einem Angreifer Code einzuschleusen und mit Benutzerrechten auszuführen. CVE-2019-0641 erlaubt das Ausführen des integrierten Flash Player ohne Zutun des Benutzers.

Office
Für seine Office-Familie liefert Microsoft im Februar Updates gegen zwölf Sicherheitslücken aus. Microsoft stuft zwei Sharepoint-Lücken als kritisch ein, neun weitere Office-Lücken als wichtig. Sieben der Schwachstellen sind geeignet, um mittels präparierter Dateien beliebigen Code einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen. Eine Spoofing-Lücke in Skype for Business 2015 (CVE-2019-0624) hat Microsoft bereits Mitte Januar, nach dem Patch Day, mit einem Update geschlossen.

Windows
Ein großer Teil der Schwachstellen verteilt sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. Als kritisch stuft Microsoft eine Lücke (CVE-2019-0626) im DHCP-Server aller Windows-Versionen ein. Mittels speziell präparierter Pakete kann ein Angreifer beliebigen Code einschleusen und ausführen. Dustin Childs (ZDI) schätzt die Lücke als bedingt Wurm-tauglich ein – ein solcher Schädling könnte sich immerhin von einem DHCP-Server zum nächsten hangeln.

Ebenfalls als kritisch gelten zwei Sicherheitslücken (CVE-2019-0618, CVE-2019-0662) in der Grafikschnittstelle GDI+ (Graphics Device Interface). Ein Angreifer könnte potenzielle Opfer auf eine entsprechend vorbereitete Web-Seite locken oder ihnen eine präparierte Datei zusenden. Im Erfolgsfall könnte er dann die Kontrolle über das System erlangen. Hinzu kommen noch drei GDI-Datenlecks.

Jet-Datenbank-Engine
In der in allen Windows-Versionen enthaltenen Jet-Datenbank-Engine hat Microsoft bereits im Januar 11 Sicherheitslücken geschlossen, nun kommen weitere sechs hinzu. Alle 17 Lücken sind geeignet, um Code einzuschleusen und auszuführen, sind jedoch nur als wichtig eingestuft.

Exchange
In Exchange Server 2010 bis 2019 hat Microsoft eine Schwachstelle (CVE-2019-0686) beseitigt, mit der sich ein Angreifer die Berechtigungen jedes anderen Exchange-Benutzers verschaffen könnte. Er wäre so etwa in der Lage, auf die Mailkonten zuzugreifen. Diese Schwachstelle war bereits vorab öffentlich bekannt. Ebenfalls in Exchange Server 2010 bis 2019 schließen Updates eine Lücke (CVE-2019-0724), deren Ausnutzung einem Angreifer die Rechte eines Systemadministrators bescheren würden.

Flash Player
Adobes Update für den Flash Player, das Microsoft durchreicht, beseitigt lediglich eine Schwachstelle, ein Datenleck. Der neue Flash Player hat die Versionsnummer 32.0.0.142.

Schließlich gibt es, wie in jedem Monat, auch im Februar das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 12. März 2019.


PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2407996