2396321

Microsoft stopft weitere Malware-Lücke in Windows

12.12.2018 | 09:07 Uhr | Frank Ziemann

Beim Update-Dienstag im Dezember hat Microsoft 39 Sicherheitslücken beseitigt. Sie stecken in Windows, Edge, Internet Explorer, Office und in weiterer Software.

Beim letzten Patch Day in diesem Jahr hat Microsoft etliche Sicherheits-Updates veröffentlicht, die 39 Sicherheitslücken schließen. Darunter sind neun, die Microsoft als kritisch einstuft. Sie betreffen Windows, Edge, den Internet Explorer und das .NET Framework. Eine Lücke im Windows-Kernel wird bereits für Malware-Angriffe ausgenutzt, eine weitere Schwachstelle ist bereits im Vorfeld öffentlich bekannt geworden. Weitere 30 Lücken stuft Microsoft als hohes Risiko ein. Details zu allen Lücken bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger von Trend Micro ZDI oder Cisco Talos das Thema auf.

Internet Explorer (IE)
Das neue kumulative Sicherheits-Update (4470199) für den Internet Explorer 9 bis 11 beseitigt im Dezember vier Schwachstellen im Browser. Nur eine ist als kritisch eingestuft. Sie kann es einem Angreifer ermöglichen Code einzuschleusen und mit Benutzerrechten auszuführen.

Edge
Im Browser Edge hat Microsoft im Dezember fünf Lücken gestopft, die das Unternehmen alle als kritisch einstuft. Die Scripting Engine „Chakra“ ist in allen Fällen die Fehlerquelle. Sie behandelt Speicherobjekte nicht korrekt und ermöglicht es so einem Angreifer Code einzuschleusen und mit Benutzerrechten auszuführen.

Office
Für die Office-Familie hält Microsoft im November Updates gegen neun Sicherheitslücken bereit. Microsoft stuft alle gleichermaßen als wichtig ein. Vier dieser Lücken sind jedoch geeignet, um mittels präparierter Dateien beliebigen Code einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen. Hierdurch betroffen sind Outlook, Excel und Powerpoint.

Windows
Ein großer Teil der Schwachstellen verteilt sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. Die meisten Lücken betreffen Windows 10 und Windows Server 2016, aber auch der noch recht frische Windows Server 2019 ist vertreten.

Als kritisch stuft Microsoft eine Lücke im Modul „Text-zu-Sprache“ (CVE-2018-8634) ein. Ein Angreifer könnte im Erfolgsfall die Kontrolle über das System erlangen – ein Beispielszenario für einen möglichen Angriffsvektor bleibt Microsoft allerdings anders als sonst schuldig. Betroffen sind Windows 10 sowie Server 2016 und 2019. Ebenfalls als kritisch gilt eine Schwachstelle im DNS Server der Windows-Version 10 sowie Windows Server 2012 R2, 2016 und 2019.

Im Kernel (Win32k) aller Windows-Versionen steckt eine Sicherheitslücke mit der Kennung CVE-2018-8611. Die Entdeckung dieser 0-Day-Lücke geht wie in den beiden Vormonaten auf Kaspersky Lab zurück. Sie wird bereits für gezielte Malware-Angriffe eingesetzt. Eingeschleuste Malware kann die Lücke nutzen, um sich die volle Kontrolle über das System zu verschaffen, sofern der schädliche Code durch einen angemeldeten Benutzer ausgeführt wird.

.NET
Im .NET Framework (v3.5 und höher) beseitigt Microsoft eine als kritisch eingeschätzte Schwachstelle (CVE-2018-8540). Durch unzureichende Überprüfung von Benutzereingaben könnte ein Angreifer Code injizieren und in der Folge die Kontrolle über das System erlangen. Ein DoS-Lücke (CVE-2018-8517) war bereit vorab öffentlich bekannt.

Weitere Software
Sicherheits-Updates gibt es in diesem Monat außerdem für Exchange Server 2016 (CVE-2018-8604), Dynamics NAV 2016/2017 (CVE-2018-8651) sowie Windows Azure Pack (WAP, CVE-2018-8652). 

Flash Player
Adobes Update für den Flash Player , das Microsoft durchreicht, ist bereits am 5. Dezember erschienen. Es beseitigt eine Schwachstelle (CVE-2018-15982 ), die bereits für Angriffe mit per Mail verschickten Word-Dateien genutzt wird.

Schließlich gibt es, wie in jedem Monat, auch im Dezember das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 8. Januar 2019.


PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2396321