2342465

Microsoft schließt kritische Windows-Lücken

11.04.2018 | 08:59 Uhr |

Beim Patch Day im April schließt Microsoft 66 Sicherheitslücken in seinen Produkten. Darunter sind 23 Schwachstellen, die Microsoft als kritisch einstuft. Diese betreffen Windows, den Internet Explorer und Edge.

Auch in diesem Monat hat Microsoft beim Update-Dienstag wieder ein großes Paket mit Sicherheits-Updates geschnürt. Die gestern veröffentlichten Sicherheits-Updates beheben insgesamt 66 Schwachstellen in Windows, Office – und in einer Tastatur. Im Vormonat waren es sogar 75 Lücken. Die 23 gestopften Lücken, die Microsoft als kritisch einstuft, betreffen die Browser Edge und Internet Explorer sowie die Windows-Grafikkomponente. Den übrigen Schwachstellen weist Microsoft die Risikoeinstufung hoch zu. Darunter sind 13 Office-Lücken, die zum Teil genutzt werden könnten, um Code einzuschleusen. Die Zahl der beseitigten Sicherheitslücken wächst um eine, rechnet man noch das Defender-Update aus der letzten Woche mit. Weitere Lücken schließt ein Update für den integrierten Flash Player.

Internet Explorer
Für den IE 9 bis 11 gibt es ein neues kumulatives Sicherheits-Update (KB4092946). Damit behebt Microsoft in diesem Monat 14 IE-Schwachstellen, von denen neun als kritisch eingestuft sind. Die Mehrzahl steckt einmal mehr in der Scripting Engine (Javascript). Die Reichweite der VBScript-Lücke CVE-2018-1004 geht über den Browser hinaus. Ein Angreifer könnte auch ein ActiveX-Element in ein Office-Dokument einbetten, das die IE-Komponente beherbergt. Diesmal teilt sich der IE keine Lücken mit Edge.

Edge
Im Browser Edge stopft Microsoft in diesem Monat zehn Sicherheitslücken, seit langer Zeit einmal weniger als im IE. Von diesen stuft Microsoft sieben Lücken als kritisch ein. Auch bei Edge gehen die meisten kritischen Schwachstellen auf das Konto der Scripting Engine „Chakra“, betreffen also Javascript.

Office
In seiner Office-Produktfamilie beseitigt Microsoft 13 Schwachstellen mit der Risikoeinstufung hoch. Sieben dieser Lücken sind geeignet, um Code einzuschleusen und auszuführen. Sie gelten für Microsoft dennoch nicht als kritisch, weil ein Anwender mitwirken muss, indem er eine präparierte Datei öffnet. Diese kann zum Beispiel als Mail-Anhang auf den Rechner gelangen. Fünf solcher Lücken betreffen Excel. Die Sharepoint-Schwachstelle CVE-2018-1034 war bereits vorab öffentlich bekannt. Ein als Benutzer angemeldeter Angreifer könnte sich darüber höhere Berechtigungen verschaffen, entsprechende Angriffe sind jedoch bislang nicht bekannt.

Windows
Die Mehrzahl der übrigen Lücken verteilt sich auf die verschiedenen Windows-Versionen. So beseitigt Microsoft fünf als kritisch eingestufte Sicherheitslücken in der Grafikkomponente. Sie können mittels präparierter Font-Dateien ausgenutzt werden, um eingeschleusten Code auszuführen. In der Virtualisierungs-Software Hyper-V stopft Microsoft zwei Datenlecks. Das bedeutet, dass Code im Gastsystem auf Information im Speicher des Wirtssystem zugreifen könnte.

Microsoft Wireless Keyboard 850
Vergrößern Microsoft Wireless Keyboard 850
© Microsoft

Microsoft Wireless Keyboard 850
In der Funktastatur 850 wird ein AES-Schlüssel zur sicheren Kommunikation des Geräts mit dem im Rechner steckenden Dongle benutzt. Offenbar handelt es sich um einen statischen Schlüssel, den bislang alle Exemplare verwenden. Ein Angreifer, dem es gelingt den Schlüssel aus einer Tastatur auszulesen, kann ihn nicht nur benutzen, um Tastatureingaben mitzulesen (Key-Logger). Er kann auch Tastatureingaben in das System einschleusen, etwa mit anderen Tastaturen gleichen Typs. Das Update stellt sicher, dass für jedes Exemplar der Tastatur einen eigener AES-Schlüssel generiert wird.

Malware Protection Engine
Bereits am 3. April hat Microsoft ein Update für die Malware Protection Engine verteilt. Es beseitigt eine kritische Lücke in allen Antivirus-Produkten aus dem Hause Microsoft, etwa im Windows Defender und in Security Essentials. Die Schwachstelle ist entstanden, als die Microsoft-Entwickler beim Beseitigen bekannter Lücken in der quelloffenen Entpackroutine für RAR-Archive den Code zu sehr vereinfachten. Mit speziell präparierten RAR-Archiven, etwa Downloads oder Mail-Anhängen, könnten Angreifer Code einschleusen und ausführen, wenn etwa Windows Defender die Datei auf Malware prüft.

Flash Player
Für den im Internet Explorer (ab Windows 8) und in Edge integrierten Flash Player reicht Microsoft ein Adobe-Update durch. Es beseitigt sechs Schwachstellen, von denen drei als kritisch eingestuft sind. Der neue Flash Player trägt die Versionsnummer 29.0.0.140.

Schließlich gibt es, wie in jedem Monat, auch im April das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 8. Mai.


0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2342465