2355541

Microsoft schließt Windows-Lücke mit Wurmpotenzial

13.06.2018 | 09:14 Uhr |

Beim Update-Dienstag im Juni hat Microsoft 50 Sicherheitslücken geschlossen. Betroffen sind Windows, Edge, Internet Explorer und Office. Auch Cortana bekommt ein Pflaster.

Unter den 50 beim Microsoft Patch Day in diesem Monat beseitigten Schwachstellen sind 11, die Microsoft als kritisch einstuft. Sie betreffen Windows sowie die Browser Edge in Internet Explorer. Die anderen gestopften Lücken, darunter acht in Office, hat Microsoft als hohes Risiko eingestuft. Allein sieben Schwachstellen betreffen die Schutzfunktion Device Guard.

Internet Explorer (IE)
Das kumulative Sicherheits-Update für den Internet Explorer 9 bis 11 beseitigt in diesem Monat lediglich vier Schwachstellen im Browser. Zwei der Lücken sind als kritisch eingestuft. Eine davon (CVE-2018-8267) war bereits zuvor öffentlich bekannt und betrifft die Fehlerbehandlung in Jscript. Keine der IE-Lücken steckt auch in auch Edge.

Edge
Auch in Edge sind es in diesem Monat relativ wenige Lücken, die Microsoft gestopft hat. Mit deren acht sind es immerhin doppelt so viele wie im IE. Vier dieser Lücken stuft Microsoft als kritisch ein.

Office
In seiner Office-Familie schließt Microsoft im Juni acht Sicherheitslücken, die alle als hohes Risiko eingeordnet sind. Zwei dieser Lücken können es einem Angreifer ermöglichen, Code einzuschleusen und auszuführen. Eine davon (CVE-2018-8176) betrifft Powerpoint, allerdings nur in Office 2016 für Mac. Die andere Lücke (CVE-2018-8248) steckt in allen Excel-Versionen von Office 2010 bis 2016.

Windows-Lücken:

Wurm-Lücke?
Die übrigen Schwachstellen verteilen sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. Eine DNS-Lücke (Domain Name System) mit der Kennung CVE-2018-8225 schätzt Dustin Childs ( Trend Micro ZDI ) als besonders problematisch ein. Sie steckt in der Programmbibliothek DNSAPI.dll aller Windows-Versionen, einschließlich Server. Mit präparierten DNS-Antworten könnte ein Angreifer eingeschleusten Code mit den Rechten des lokalen Systemkontos ausführen. Childs hält die Lücke zudem für Wurm-tauglich und rät dringend dazu, das entsprechende Update umgehend zu installieren.

Beinahe ebenso problematisch ist laut Dustin Childs die Schwachstelle CVE-2018-8231 in der Webserver-Komponente http.sys . Ein unprivilegierter Angreifer könnte aus der Ferne speziell präparierte Datenpakete an das Zielsystem senden, das den so eingeschleusten Code mit den erhöhten Rechten des Webserver-Dienstes ausführen würde. Das ginge zumindest in Richtung Wurmtauglichkeit, meint Childs. In http.sys stopft Microsoft zudem noch eine DoS-Lücke (Denial of Service).

Cortana
Im Sprachassistenten Cortana beseitigt ein Update eine Schwachstelle, mit der sich ein Angreifer höhere Rechte verschaffen kann. Microsoft spricht recht nebulös davon, dass Cortana Benutzereingaben ohne Statusprüfung entgegen nehme. Im Klartext kann das bedeuten, dass etwa ein Sprachbefehl einer beliebigen Person eine Programmausführung mit höheren Rechten (als denen des angemeldeten Benutzers) auslösen kann. Angriffe aus der Ferne sind eher unwahrscheinlich.

Device Guard
Bei Windows 10 Enterprise haben Administratoren die Möglichkeit, das System mit Device Guard vor schädlichem Code und Manipulationen zu schützen. Doch der auf Virtualisierung und Codeintegritätsprüfung basierende „fortschrittlichste Schutz einer Windows-Plattform vor Schadsoftware“ (Microsoft) ist offenbar löchrig. Sieben Schwachstellen hat Microsoft in diesem Monat beseitigt, mit denen der Schutz umgangen und Code in PowerShell-Scripte eingeschleust werden kann, die als vertrauenswürdig eingestuft sind.

Flash Player
Das nahezu obligatorische Sicherheits-Update für den Flash Player hat Adobe schon in der letzten Woche bereitgestellt, da bereits Angriffe auf eine der damit gestopften Lücken gemeldet worden waren. Auch Microsoft hat das Update auf Flash Player 30.0.0.113 vorzeitig verteilt.

Schließlich gibt es, wie in jedem Monat, auch im Juni das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 10. Juli.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2355541