2266132

Microsoft schließt 0-Day-Lücken in Office und IE

12.04.2017 | 09:11 Uhr |

Beim Patch Day im April verteilt Microsoft Sicherheits-Updates, die insgesamt 45 Schwachstellen beseitigen sollen. Darunter ist auch eine bereits für Angriffe ausgenutzte Lücke in Office.

Der Update-Dienstag am 11. April markiert das Ende der Security Bulletins. Ab jetzt muss sich jeder, der mehr über die durch Updates geschlossenen Sicherheitslücken erfahren möchte, umständlich durch den bereits vor einigen Monaten eingeführten Security Update Guide klicken. Spätestens, wenn Sie mehr als einen Windows-PC haben, werden Sie es schwer haben, bei den 644 Einträgen für den 11. April einen Überblick über die beseitigten Schwachstellen zu bekommen. Auch nach langwierigen Klickorgien kann man sich nie sicher sein nichts übersehen zu haben, das wichtig sein könnte. Die angebotene Zusammenfassung ist ausgesprochen dürftig.

Demnach gibt es Sicherheits-Updates für Windows, Internet Explorer, Edge, Office (einschließlich Web Apps), das .NET Framework, Silverlight, Visual Studio für Mac sowie für den Flash Player. Insgesamt beseitigt Microsoft etwa 45 Schwachstellen. Darunter sind auch drei so genannte Zero-Day-Lücken, also Schwachstellen, die bereits vorher öffentlich bekannt waren.

Das wichtigste Update ist das für Microsoft Office. Es beseitigt eine OLE-Lücke in Word (CVE-2017-0199), die bereits seit Monaten für Malware-Angriffe ausgenutzt wird. Betroffen sind alle Office-Versionen sowie das in Windows 7 und Vista enthaltene WordPad. Die Attacken kommen ohne Makros aus, vielmehr kommt meist ein als Word-Datei (.doc) getarntes RTF-Dokument als Mail-Anhang auf den Rechner. Wird dieses geöffnet, lädt es eine HTA-Datei (HTML-Applikation) aus dem Internet und führt sie aus. Der darin enthaltene VBScript-Code installiert dann den eigentlichen Schädling.

In Office steckt auch noch eine zweite Zero-Day-Lücke (CVE-2017-2605), die laut Microsoft zumindest für begrenzte, gezielte Angriffe genutzt wird. Doch Microsoft schließt diese Lücke erstmal nicht. Vielmehr wird der genutzte Angriffsvektor blockiert, bis ein Patch zur Verfügung steht. Dazu wird der Importfilter für EPS-Grafiken (Encapsulated PostScript) deaktiviert. Zum Office-Paket gehört auch Outlook, in dem Microsoft eine als kritisch eingestufte Lücke (CVE-2017-0106) schließt. Das Sicherheits-Update für Microsoft Office sollte daher Ihre erste Priorität sein.

Die dritte Zero-Day-Lücke (CVE-2017-0210) betrifft den Internet Explorer 10 und 11. Sie ermöglicht eine Rechteausweitung, wobei sensible Daten aus einer Domain in eine andere transferiert werden können. Auf diese Weise können Angreifer Schutzmechanismen umgehen und in Kombination mit weiteren Schwachstellen schädlichen Code einschleusen und mit höheren Rechten ausführen. Solche Exploit-Ketten wurden beim Hacker-Wettbewerb Pwn2Own im März zuhauf demonstriert.

Diese Schwachstelle stuft Microsoft zwar nicht als kritisch ein, wohl aber zwei andere IE-Lücken (CVE-2017-0201 im IE 9, CVE-2017-0202 im IE 11), die mit dem aktuellen Sicherheits-Update geschlossen werden. Im Browser Edge schließt Microsoft fünf Sicherheitslücken, von denen drei als kritisch eingestuft sind.

Auch im .NET Framework schließt Microsoft eine Sicherheitslücke (CVE-2017-0160), die als kritisch eingestuft ist. Ein Angreifer mit lokalem Zugriff auf den Rechner kann im Erfolgsfall die volle Kontrolle über das System erlangen. Er könnte Programme installieren, Daten löschen oder verändern und neue Benutzerkonten mit vollen Rechten anlegen. Betroffen sind alle Windows-Versionen.

Adobe hat ein Sicherheits-Update für den Flash Player bereit gestellt und weitere sieben Lücken geschlossen. Dies betrifft auch den Flash Player, der im Internet Explorer (ab Windows 8) und in Edge integriert ist. Die neue Flash-Player-Version für diese Browser verteilt Microsoft über Windows Update. Der Flash Player sollte nach der Update-Installation die neue Versionsnummer 25.0.0.148 tragen.

Der Patch Day am 11. April markiert nicht nur das Ende für die Security Bulletins, sondern auch für die Unterstützung für Windows Vista, Exchange Server 2007 und ein halbes Dutzend weiterer Software-Produkte. Sie erhalten in Zukunft weder Sicherheits-Updates noch Support. Darüber hinaus beginnt die offizielle Verteilung des so genannten Creators Update (auch „Redstone 2“ genannt) für Windows 10, das vielen Anwendern bereits seit dem 5. April angeboten wird.

Außerdem gibt es, wie in jedem Monat, auch im April das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.


0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2266132