2370019

Microsoft stopft 0-Day-Lücke im IE

15.08.2018 | 09:11 Uhr | Frank Ziemann

Beim Update-Dienstag im August hat Microsoft 60 Schwachstellen beseitigt. Betroffen sind Windows, Edge, Internet Explorer, Office, Exchange und SQL-Server sowie weitere Komponenten.

Unter den 60 beim Patch Day in diesem Monat geschlossenen Sicherheitslücken sind 20, die Microsoft als kritisch einstuft. Sie betreffen Windows, die Browser Edge und Internet Explorer sowie Exchange und SQL-Server. Eine IE-Lücke wird bereits für Angriffe ausgenutzt, ebenso eine Schwachstelle in der Shell von Windows 10. Weitere 38 Lücken stuft Microsoft als hohes Risiko ein. Eine Schwachstelle bekommt eine mittlere Risikoeinstufung, eine andere die niedrigste Stufe. Details zu allen Lücken bietet Microsoft im Security Update Guide .

Internet Explorer (IE)
Das kumulative Sicherheits-Update für den Internet Explorer 9 bis 11 beseitigt in diesem Monat 11 Schwachstellen im Browser. Sechs der Lücken sind als kritisch eingestuft und betreffen zum Teil die Scripting Engine. Eine Schwachstelle (CVE-2018-8373) war bereits vorab öffentlich bekannt und wird für Angriffe ausgenutzt. Sechs der IE-Lücken stecken auch in Edge.

Edge
Im Browser Edge hat Microsoft im August 16 Lücken gestopft. Zehn dieser Lücken stuft Microsoft als kritisch ein. Auch hier trägt die Scripting Engine wieder einmal den Hauptanteil bei.

Office
In den Programmen seiner Office-Familie schließt Microsoft im August sechs Sicherheitslücken, die alle als hohes Risiko eingeordnet sind. Drei dieser Lücken können es einem Angreifer ermöglichen, Code einzuschleusen und auszuführen. Zwei dieser Schwachstellen betreffen Excel, Nummer drei geht auf das Konto von Powerpoint 2010.

Windows
Die meisten der übrigen Schwachstellen verteilen sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. Hervorzuheben ist insbesondere eine Sicherheitslücke in der Windows-10-Shell (CVE-2018-8414), die auch Windows Server Core betrifft. Sie basiert auf ungültigen Dateipfaden und wird bereits für Angriffe ausgenutzt. Als möglicher Angriffsvektor ist Acrobat Reader involviert, für den Adobe Sicherheits-Updates bereitgestellt hat.

Weitere kritische Windows-Lücken betreffen etwa die Schriftartenbibliothek, die Grafikschnittstelle GDI und den PDF-Betrachter. Im Standardsammlungsdienst des Diagnosehubs gibt es eine Sicherheitsanfälligkeit (CVE-2018-0952), da es dieser erlaubt, Dateien in beliebigen Speicherorten anzulegen. Ein angemeldeter Angreifer könnte ein spezielles Programm ausführen, um die Lücke auszunutzen und die Kontrolle über das System zu erlangen. Diese Schwachstelle betrifft Windows 10, Server 2016 und neuer sowie Visual Studio 2015 und 2017. Sie ist nicht als kritisch eingestuft.

Exchange
Der Exchange Server ist im August mit zwei Lücken vertreten. Als kritisch gilt CVE-2018-8302, die Exchange Server 2010, 2013 und 2016 betrifft. Mittels einer speziell präparierten E-Mail kann ein Angreifer beliebigen Code einschleusen und mit Systemrechten ausführen. Die zweite Schwachstelle (CVE-2018-8374) betrifft nur Exchange Server 2016. Ein angemeldeter Benutzer kann mit einer speziell modifizierten Anfrage gezielt das Profil eines Benutzers verändern.

SQL-Server
Eine als kritisch eingestufte Schwachstelle (CVE-2018-8273) steckt in SQL-Server 2016 und 2017 (auch Cluster Server), einschließlich Linux. Mit einer speziell gestalteten Abfrage kann ein Angreifer einen Pufferüberlauf provozieren. Er kann so beliebigen Code einschleusen und mit den Rechten des Kontos für den SQL Server Datenbankdienst ausführen.

.NET Framework
Im .NET Framework von Version 2.0 bis 4.7.2 (also praktisch alle) beseitigt Microsoft ein Datenleck (CVE-2018-8360). Bei Umgebungen mit mehreren Mandanten und Netzwerkverbindungen mit hoher Auslastung können mehrere Datenströme zusammengefasst werden. Hat ein Angreifer in einer solchen Umgebung Zugriff auf einen Mandanten, könnte er eine Offenlegung von Daten für mehrere Mandanten zwischen Kunden auslösen.

Flash Player
Für den im Internet Explorer (ab Windows 8) und in Edge integrierten Flash Player reicht Microsoft ein Adobe-Update durch. Es beseitigt fünf Schwachstellen, keine ist als kritisch eingestuft. Der aktualisierte Flash Player trägt die Versionsnummer 30.0.0.154.

Schließlich gibt es, wie in jedem Monat, auch im August das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 11. September.


PC-WELT Marktplatz

2370019