2330497

Microsoft Patch-Day im Februar: Gefährliche Schwachstellen in Outlook

14.02.2018 | 09:49 Uhr |

Beim Update-Dienstag im Februar schließt Microsoft 50 Schwachstellen in seinen Produkten. Darunter sind 14 Lücken, die Microsoft als kritisch einstuft. Diese betreffen vor allem Edge.

Auch in diesem Monat verteilt sich der Patch Day ein wenig, denn bereits in der letzten Woche hat Microsoft ein Update für den Flash Player verteilt. Die gestern veröffentlichten Sicherheits-Updates beheben insgesamt 50 Schwachstellen in Windows und Office. Von den 14 gestopften Lücken, die Microsoft als kritisch einstuft, betreffen 12 die Browser Edge und Internet Explorer. Den übrigen Schwachstellen weist Microsoft bis auf zwei Ausnahmen die Risikoeinstufung hoch zu. Diese beiden haben eine mittlere Einstufung.

Internet Explorer
Für den IE 9 bis 11 gibt es eine neues kumulatives Sicherheits-Update (KB). Damit behebt Microsoft in diesem Monat lediglich zwei IE-Schwachstellen, die beide in der Scripting Engine (Javascript) stecken. Eine der Lücken (CVE-2018-0840) ist als kritisch eingestuft und betrifft auch Edge.

Edge
Im Browser Edge stopft Microsoft in diesem Monat 14 Sicherheitslücken. Von diesen stufen die Redmonter alle bis auf drei als kritisch ein. Auch bei Edge gehen alle kritischen Schwachstellen auf das Konto der Scripting Engine, betreffen also Javascript. Nur als mittleres Risiko schätzt Microsoft die Lücke CVE-2018-0771 ein. Sie war bereits vorab öffentlich bekannt. Wer sie auszunutzen versteht, kann die so genannte Same-Origin-Policy umgehen und so an Informationen gelangen, auf die er an sich keinen Zugriff haben sollte.

Office
Mit den Februar-Updates für seine Office-Familie beseitigt Microsoft sieben Schwachstellen. Eine Outlook-Lücke (CVE-2018-0852) ist als kritisch eingestuft. Eine speziell präparierte Mail muss lediglich in der Vorschau angezeigt werden, um schädlichen Code einzuschleusen und auszuführen. Eine zweite Outlook-Lücke, CVE-2018-0850, benötigt nicht einmal das. Eine entsprechend präparierte Mail muss nur im Outlook-Posteingang liegen, damit Outlook einem darin enthaltenen SMB-Verweis folgt, um ein externes Postfach zu laden. Zwei weitere Office-Lücken sind ebenfalls geeignet, um Code einzuschleusen und auszuführen. Zwei Sharepoint-Schwachstellen ermöglichen Zugriffe mit erhöhten Berechtigungen. Entsprechende Angriffe sind jedoch in allen Fällen bislang nicht bekannt.

Windows
In den verschiedenen Windows-Versionen beseitigt Microsoft insgesamt 27 Sicherheitslücken, eine ist als kritisch eingestuft. Dabei handelt es sich um CVE-2018-0825, eine Schwachstelle in StructuredQuery aller Windows-Versionen. Sie kann ausgenutzt werden, um Code einzuschleusen und mit Benutzerrechten auszuführen. Dazu muss ein Benutzer eine speziell präparierte Datei öffnen. Trifft diese Datei per Mail ein, genügt wiederum die Vorschau, um den schädlichen Code zur Ausführung zu bringen. Etliche Lücken stecken im Windows-Kernel sowie im EOT-Schriftartmodul (Embedded OpenType). Meist handelt es sich um Datenlecks oder um eine Möglichkeit, sich höhere Berechtigungen zu verschaffen.

Flash Player
Für den im Internet Explorer (ab Windows 8) und in Edge integrierten Flash Player hat Microsoft bereit in der letzten Woche ein Adobe-Update durchgereicht. Es beseitigt zwei Schwachstellen, von denen eine bereits für Angriffe ausgenutzt wird. Der neue Flash Player trägt die Versionsnummer 28.0.0.161.

Schließlich gibt es, wie in jedem Monat, auch im Februar das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 13. März.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2330497