2279866

Microsoft liefert Patches auch für XP und Vista

14.06.2017 | 10:15 Uhr |

Beim Update-Dienstag im Juni stellt Microsoft Sicherheits-Updates gegen fast 100 Lücken bereit. Auch für Windows XP und Vista ist ausnahmsweise etwas dabei. WannaCry und die NSA-Leaks machen es möglich.

Der Patch Day am 13. Juni ist so etwa umfangreich ausgefallen wie die beiden Update-Dienstage im April und Mai zusammen. Insgesamt schließt Microsoft 95 Sicherheitslücken, hinzu kommt das Update für den integrierten Flash Player, das neun weitere Schwachstellen beseitigt. Die durch die Hackergruppe „The Shadow Brokers“ veröffentlichten Exploits aus dem Arsenal der US-Geheimdienste entstandene Sicherheitslage hat Microsoft offenbar dazu bewogen, auch alte Windows-Versionen noch einmal zu flicken.

So erhalten auch Nutzer von Windows XP und Vista diesmal Sicherheits-Updates, um die Rechner etwas besser vor Angriffen zu schützen, bei denen die veröffentlichten Exploits benutzt werden. Es sind neben WannaCry (oder WannaCrypt) inzwischen weitere Schädlinge bekannt, die sich mit Hilfe der Angriffs-Codes aus dem Waffenschrank der Schlapphüte verbreiten, zum Beispiel der Wurm EternalRocks . Etliche staatliche Einrichtungen setzen noch immer alte XP-Systeme ein. Diese hängen zwar nicht unbedingt direkt am Internet, wohl aber im internen Netzwerk. Ist ein Wurm erstmal im LAN, kann er auch diese Rechner infizieren.

Wer also noch alte Schätzchen am Laufen hält, sollte die Gelegenheit nutzen, um noch ein (wahrscheinlich letztes) Mal Sicherheits-Updates zu holen. Microsoft hat klargemacht, dass dies eine Ausnahme bleiben wird. Microsoft hat in der Sicherheitsempfehlung 4025685 einen „Leitfaden für ältere Plattformen“ veröffentlicht. Darin sind die Schwachstellen aufgeführt, die Microsoft nun auch in den Windows-Versionen beheben will, die längst aus dem Support gefallen sind. Dazu zählen auch Windows 8.0 und Windows Server 2003. In diesem Leitfaden findet sich auch ein ausdrücklicher Hinweis, dass beim Bezug der Updates nicht geprüft wird, ob der Rechner mit einer legal erworbenen Windows-Lizenz betrieben wird.

keine Echtheitspruefung beim Update
Vergrößern keine Echtheitspruefung beim Update

Doch nun zu den Sicherheitslücken in neuen Windows-Versionen (ab Windows 7). Auch für diese hat Microsoft einen vergleichbaren Leitfaden parat. Doch wer stets das automatische Windows Update nutzt, muss sich darum in aller Regel nicht weiter kümmern. Die Updates werden ohne weiteres Zutun installiert – inklusive gelegentlicher Probleme. Wer Detailinformationen zu den Sicherheits-Updates sucht, muss sich seit April durch den unübersichtlichen Security Update Guide wühlen.

Internet Explorer

Ein neues kumulatives Sicherheits-Update für den Internet Explorer 9 bis 11 schließt sechs Sicherheitslücken, drei davon stuft Microsoft als kritisch ein.

Edge

Im neuen Browser Edge beseitigt Microsoft 17 Schwachstellen, von denen zehn als kritisch eingestuft sind. Drei nicht als kritisch eingestufte Lücken (CVE-2017-8498, CVE-2017-8523, CVE-2017-8530) waren bereits vor dem Patch Day öffentlich bekannt. Zwei dieser Lücken können es einem Angreifer ermöglichen Sicherheitsfunktionen zu umgehen. Dies betrifft in beiden Fällen die so genannte Same Origin Policy, die an sich verhindern soll, dass Script-Code in einer Web-Seite HTML-Inhalte einer fremden Seite manipuliert. Angriffe, die diese Schwachstellen ausnutzen würden, sind derzeit noch nicht bekannt.

Office

Verteilt über nahezu alle zur Office-Familie zählenden Produkte schließt Microsoft 28 Sicherheitslücken. Dazu gehören etwa auch Sharepoint Server, Word Viewer, Outlook, oder Skype for Business. Drei dieser Schwachstellen stuft Microsoft als kritisch ein. Darüber hinaus sollten Outlook-Nutzer der Sicherheitslücke CVE-2017-8507 Beachtung schenken. Microsoft stuft sie nicht als kritisch ein, aber ein Angreifer, der sie mittels einer präparierten Mail ausnutzt, kann die Kontrolle über das System erlangen, falls ein Empfänger die Mail in Outlook öffnet.

Windows

Gleich mehrere Dutzend Schwachstellen verteilen sich über Windows 7 bis 10 sowie Server 2008 bis 2016. Zwei so genannte Zero-Day-Lücken sollten mit höchster Priorität behandelt werden; sie werden bereits aktiv für Angriffe ausgenutzt. Dabei handelt es sich um eine Lücke im Windows Suchdienst (CVE-2017-8543) sowie um eine weitere LNK-Lücke (CVE-2017-8464). Beide ermöglichen es einem Angreifer Code einzuschleusen und auszuführen.

Die Suchdienstlücke ist in einem Unternehmensnetzwerk auch aus der Ferne per SMB ausnutzbar. Die LNK-Schwachstelle ist ein weiteres Glied in einer Kette ähnlicher Lücken, man denke etwa an Stuxnet. Auch CVE-2017-8527 verdient erhöhte Aufmerksamkeit. Dabei handelt es sich um eine kritische Schwachstelle in der Windows-Schriftartenbibliothek. Sie kann mit speziell präparierten Fonts ausgenutzt werden. Dazu genügt es, wenn ein Benutzer eine Web-Seite besucht, die eine solche Schriftartdatei verwendet. Der Angreifer könnte dann die Kontrolle über das System des Besuchers erlangen.

Silverlight

Die neue Silverlight-Version 5.1.50907.0 beseitigt zwei als kritisch eingestufte Sicherheitslücken. Eine ist die gerade erwähnte CVE-2017-8527, die andere (CVE-2017-0283) ist mal wieder eine Uniscribe-Schwachstelle. Beide können in einem Web-Szenario ausgenutzt werden, um Code einzuschleusen und auszuführen.

Flash Player

Für den im Internet Explorer (ab Windows 8) und in Edge integrierten Flash Player reicht Microsoft ein Adobe-Update durch. Es beseitigt neun als kritisch eingestufte Sicherheitslücken. Der neue Flash Player trägt die Versionsnummer 26.0.0.120.

Und schließlich gibt es, wie in jedem Monat, auch im Juni das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.

0 Kommentare zu diesem Artikel
2279866