2375889

Microsoft Patch Day im September: Update stopft vier 0-Day-Lücken

12.09.2018 | 08:50 Uhr |

Beim Update-Dienstag im September hat Microsoft 62 Sicherheitslücken geschlossen. Sie betreffen Windows, Edge, Internet Explorer, Office, Azure sowie weitere Komponenten.

Unter den 62 beim Patch Day in diesem Monat geschlossenen Sicherheitslücken sind 17, die Microsoft als kritisch einstuft. Sie betreffen Windows, die Browser Edge und Internet Explorer sowie das .NET Framework. Eine Windows-Lücke wird bereits für Angriffe ausgenutzt, drei weitere Schwachstellen waren bereits im Vorfeld veröffentlicht worden. Weitere 44 Lücken stuft Microsoft als hohes Risiko ein. Eine Schwachstelle in Lync für Mac bekommt eine mittlere Risikoeinstufung. Details zu allen Lücken bietet Microsoft im Security Update Guide .

Internet Explorer (IE)
Das kumulative Sicherheits-Update für den Internet Explorer 9 bis 11 beseitigt in diesem Monat sechs Schwachstellen im Browser. Drei der Lücken sind als kritisch eingestuft und betreffen zum Teil die Scripting Engine. Eine Schwachstelle (CVE-2018-8457) war bereits vorab öffentlich bekannt. Diese und zwei weitere der IE-Lücken stecken auch in Edge.

Edge
Im Browser Edge hat Microsoft im September 15 Lücken gestopft. Acht dieser Lücken stuft Microsoft als kritisch ein. Auch hier trägt die Scripting Engine einmal mehr den Hauptanteil bei. Als kritisch gilt auch eine Schwachstelle im integrierten PDF-Betrachter.

Office
In den Programmen seiner Office-Familie schließt Microsoft im September acht Sicherheitslücken. Eine Schwachstelle (CVE-2018-8332) in Office 2016 hat Microsoft als kritisch eingestuft. Sie steckt in der Windows Schriftartenbibliothek, betrifft also auch andere Komponenten und Programme. Ein Angreifer könnte etwa einen speziell präparierten Font in ein Dokument einbetten und so beliebigen Code einschleusen und ausführen. Auch Office für Mac ist laut Microsoft hiervon betroffen.

Lücken in Excel und Word können es einem Angreifer erlauben, mit speziell präparierten Office-Dokumenten Code einzuschleusen, um diesen mit Benutzerrechten auszuführen. In Lync für Mac 2011 beseitigt Microsoft eine Lücke, die es einem Angreifer ermöglichen kann, Sicherheitsfunktionen zu umgehen. Das Risiko schätzt Microsoft als nicht sehr hoch ein.

Windows
Mehr als 40 Schwachstellen verteilen sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. Besondere Aufmerksamkeit verdient eine Schwachstelle (CVE-2018-8440) in ALPC (Advanced Local Procedure Call) aller Windows-Versionen. Sie wurde Ende August via Twitter veröffentlicht und wird bereits seit einer Woche für Angriffe ausgenutzt. Ein angemeldeter Angreifer kann im Erfolgsfall Code mit erhöhten Rechten ausführen.

Eine zweite Lücke (CVE-2018-8475) war ebenfalls vorab bekannt. Um sie auszunutzen, muss ein Angreifer einen Benutzer lediglich dazu bringen eine präparierte Bilddatei herunterzuladen. Angriffe, die diese Anfälligkeit nutzen, sind bislang noch nicht bekannt. Eine weitere kritische Windows-Lücke betrifft die Schriftartenbibliothek, wie schon bei Office erwähnt. Sie ist auch in einem Web- oder Mail-Szenario ausnutzbar. Betroffen sind sind die Kernel (Win32s) aller Windows-Versionen, einschließlich Server.

Ein Mittel gegen die als „FragmentSmack“ (CVE-2018-5391) bekannte DoS-Lücke (Denial of Service) hat Microsoft noch nicht fertiggestellt. Sie betrifft auch Linux. Angriffe zielen auf den IP-Stack und erfolgen mit fragmentierten IP-Paketen, die letztlich zur kompletten Auslastung der CPU führen können. Sobald der Angriff aufhört, wird der Rechner wieder nutzbar. Bis zur Bereitstellung einer Lösung rät Microsoft in der Sicherheitsempfehlung ADV180022 zu Schutzvorkehrungen am Perimeter, also etwa am Router. Das dürfte jedoch die meisten Anwender überfordern – richtet sich auch eher an Unternehmen.

Hyper-V
In der Virtualisierungslösung Hyper-V muss Microsoft in diesem Monat sechs Lücken stopfen. Hyper-V weist zwei als kritisch eingestufte Schwachstellen auf. Sie ermöglichen einen Ausbruch aus der virtuellen Maschine, um Code auf dem Hostsystem auszuführen. Hinzu kommen zwei DoS-Lücken, ein Datenleck sowie ein Fehler im Hyper-V BIOS.

.NET Framework
Im .NET Framework von Version 2.0 bis 4.7.2 (also praktisch alle) beseitigt Microsoft eine als kritisch eingestufte Sicherheitslücke (CVE-2018-8421). Jegliche Software, die .NET nutzt und Benutzereingaben verarbeitet (auch Kommandozeilenparameter), kann anfällig sein. Im Erfolgsfall kann ein Angreifer die Kontrolle über das System erlangen.

Azure
Gegen eine Spoofing-Lücke im C SDK für Azure IoT (CVE-2018-8479) hilft ein Update. Es korrigiert die Zertifikatsprüfung der HTTP-Transportbibliothek.

Flash Player
Für den im Internet Explorer (ab Windows 8) und in Edge integrierten Flash Player reicht Microsoft ein Adobe-Update durch. Es beseitigt eine Schwachstelle (CVE-2018-15967), die Microsoft und Adobe als Datenleck sowie als hohes Risiko einstufen. Der aktualisierte Flash Player trägt die Versionsnummer 31.0.0.108.

Schließlich gibt es, wie in jedem Monat, auch im September das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 9. Oktober.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2375889