2298697

Microsoft schließt 81 Sicherheitslücken

13.09.2017 | 09:25 Uhr |

Mit den Sicherheits-Updates beim Update-Dienstag im September beseitigt Microsoft 81 Schwachstellen in seinen Produkten. Darunter ist auch eine 0-Day-Lücke, die bereits aktiv für Angriffe ausgenutzt wird.

Microsoft hat am 12. September seinen monatlichen Patch Day abgehalten und dabei zahlreiche Sicherheitslücken geschlossen. Unter den 81 beseitigten Schwachstellen sind 26 Lücken, die Microsoft als kritisch einstuft. Sie betreffen Windows, Edge, den Internet Explorer und Office. Eine Lücke im .NET Framework (CVE-2017-8759) wird bereits aktiv ausgenutzt. Zu den mit Updates geschlossenen Lücken zählen auch mehrere in Hyper-V, Exchange und im Windows-Kernel. Die HoloLens erhält ihr zweites Sicherheits-Update.

Internet Explorer
Im IE muss Microsoft immer weniger Lücken stopfen, denn er wird nicht mehr weiterentwickelt. Es bleiben jedoch noch genug alte, bislang unentdeckte übrig. In diesem Monat sind es sieben Schwachstellen, von denen fünf als kritisch eingestuft sind. Vier Schwachstellen teilt sich der IE mit seinem Nachfolger Edge.

Edge
Wie schon im August schließt Microsoft in Edge 29 Sicherheitslücken. Von diesen stuft Microsoft 20 als kritisch ein. Etliche dieser Schwachstellen gehen auf das Konto der Scripting Engine, betreffen also Javascript. Eine als mittleres Risiko eingeschätzte Edge-Lücke (CVE-2017-8723) war bereits vorab bekannt. Sie ermöglicht es einem Angreifer, einen Benutzer zum Öffnen einer Web-Seite mit schädlichen Inhalten zu verleiten. Er kann mit einer speziell präparierten Seite die Content Security Policy austricksen.

Office
Nachdem Microsofts Office-Familie im August praktisch leer ausgegangen ist, gibt es in diesem Monat wieder etliche Updates. Sie beseitigen 14 Schwachstellen, von denen drei als kritisch gelten. Weitere acht Office-Lücken können es einem Angreifer ermöglichen, Code einzuschleusen und mit Benutzerrechten auszuführen, wenn ein Benutzer ein speziell präpariertes Dokument öffnet. Das kann etwa eine Word-Datei sein, die als Mail-Anhang verschickt wird.

Außerdem können Office-Dokumente auch als Angriffsvektor dienen, um Schwachstellen in anderen Komponenten auszunutzen. Ein prominentes Beispiel ist die eingangs erwähnte .NET-Lücke CVE-2017-8759, deren beobachtete Ausnutzung mit einer präparierten Word-Datei startet. Auch die Lücken in Windows-Grafikkomponenten wirken sich regelmäßig auf Programme der Office-Familie aus. Aktuell gilt dies etwa für CVE-2017-8682 und CVE-2017-8696.

Windows
In den verschiedenen Windows-Versionen beseitigt Microsoft insgesamt knapp 30 Sicherheitslücken. Als kritisch gelten zwei Schwachstellen in Windows-Grafikkomponenten, die bereits im Zusammenhang Office Erwähnung gefunden haben. Hinzu kommt eine kritische Lücke im DHCP-Server, die Windows Server 2012 bis 2016 betrifft. Als kritisch stuft Microsoft zwei Lücken in der PDF-Bibliothek ein. Mittels präparierter PDF-Dateien könnte ein Angreifer beliebigen Code einschleusen und mit Benutzerrechten ausführen.

Fünf der sechs Lücken in der Virtualisierungslösung Hyper-V können genutzt werden, um im Gastsystem Informationen über das Host-System zu erlangen. Dies kann interessant sein, um einen Ausbruch aus der VM vorzubereiten, für den es weiterer Schwachstellen bedarf. Ähnlich sind mehrere Schwachstellen im Windows-Kernel und Kernelmodustreibern einzuschätzen. Sie sind für sich genommen erstmal nur Datenlecks, dienen jedoch oft als Einstieg für den Ausbruch aus einer Sandbox.

Exchange
Eine der beiden Exchange-Lücken betrifft Exchange Server 2013 und 2016. Die als CVE-2017-11761 geführte Schwachstelle kann es einem Angreifer ermöglichen, die Existenz nichtöffentlicher IP-Adressen im lokalen Netz zu prüfen. Dies kann Teil eines umfassenderen Angriffsszenarios sein. Die zweite Lücke (CVE-2017-8758) betrifft Outlook Web Access (OWA) in Exchange Server 2016. Sie könnte für Cross-site Scripting-Angriffe genutzt werden.

.NET Framework
In allen Versionen des .NET Framework von 2.0 bis 4.7 steckt eine Sicherheitslücke, die ein Angreifer ausnutzen kann, um Code einzuschleusen und auszuführen. Laut Microsoft kann der Angreifer im Erfolgsfall die Kontrolle über das System erlangen. Es sind bereits entsprechende Angriffe beobachtet worden. Sie beginnen mit einer präparierten Word-Datei, es sind jedoch auch andere Einstiegstrajektorien denkbar. Mehr dazu in einem separaten Artikel.

HoloLens
Bereits im Juli hat Microsofts AR-Brille HoloLens ihr erstes Sicherheits-Update erhalten, nun folgt ein zweites Update. Es schließt eine Sicherheitslücke im WLAN-Chip der HoloLens, einem Broadcom-Chip aus der BCM43xx-Familie. Die Chips sind anfällig für Angriffe mit dem so genannten „BroadPwn“-Exploit . Ein Angreifer kann ein in Reichweite befindliches Gerät mit aktivierten WLAN zum Absturz bringen, ohne sich mit diesem verbinden zu müssen. Dieser betrifft auch etliche Smartphones (Google, Samsung, Apple und andere) und andere Mobilgeräte, Router sowie WLAN-Access Points. Für Android (Patch Level 1. August) und iOS (v10.3.3, 19. Juli) gibt es bereits Updates.

Flash Player
Für den im Internet Explorer (ab Windows 8) und in Edge integrierten Flash Player reicht Microsoft ein Adobe-Update durch. Es beseitigt zwei als kritisch eingestufte Sicherheitslücken. Der neue Flash Player trägt die Versionsnummer 27.0.0.130.

Und schließlich gibt es, wie in jedem Monat, auch im September das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.


0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2298697