2317996

Sicherheits-Updates für Windows, Browser, Office und Exchange

13.12.2017 | 08:54 Uhr |

Beim Update-Dienstag im Dezember beseitigt Microsoft 34 Schwachstellen in seinen Produkten. Mehr als drei Viertel der Lücken entfallen auf Edge und IE.

Microsoft hat am 12. Dezember den letzten Patch Day in diesem Jahr abgehalten und dabei wieder etliche Sicherheits-Updates bereit gestellt. Unter den 34 beseitigten Schwachstellen sind 21 Lücken, die Microsoft als kritisch einstuft. Davon betreffen 19 Edge und den Internet Explorer. Neben drei Windows-Schwachstellen stopft Microsoft auch vier Office-Lücken. Auch für den Exchange Server gibt es mal wieder Sicherheits-Updates.

Internet Explorer
Für den IE 9 bis 11 gibt es eine neues kumulatives Sicherheits-Update. Damit behebt Microsoft in diesem Monat 13 IE-Schwachstellen, von denen der Hersteller zehn als kritisch eingestuft. Alle Lücken stecken in der Scripting Engine (Javascript).

Edge
Im Browser Edge stopft Microsoft in diesem Monat 14 Sicherheitslücken. Von diesen stufen die Redmonter alle bis auf eine als kritisch ein. Auch bei Edge gehen alle Schwachstellen auf das Konto der Scripting Engine, betreffen also Javascript. Die beiden Microsoft-Browser teilen sich vier dieser Lücken.

Office
Die Dezember-Updates für Microsofts Office-Familie beseitigen vier Schwachstellen, keine ist als kritisch eingestuft. Die Lücke CVE-2017-11935 in Office 2016 Klick-und-Los (Click-to-Run) ermöglicht es einem Angreifer mit einem präparierten Office-Dokument schädlichen Code einzuschleusen und auszuführen. Eine Sicherheitslücke in Sharepoint Enterprise Server 2016 (CVE-2017-11936) ermöglicht Cross-site Scripting-Angriffe (XSS).

Außerdem hat Microsoft noch die Sicherheitsempfehlung ADV170021 veröffentlicht. Darin geht es um ein Update für Office 2010 und 2016 sowie Word 2007 bis 2016, das Dynamic Update Exchange Protocol (DDE) deaktiviert. Damit soll Malware ein Riegel vorgeschoben werden, die den Datenaustausch zwischen Office und anderer Software missbraucht, um darüber Schadcode aus dem Internet nachzuladen.

Windows
In den verschiedenen Windows-Versionen beseitigt Microsoft insgesamt drei Sicherheitslücken. Hervorzuheben ist eine Schwachstelle im Device Guard (CVE-2017-11899) bei Windows 10 und Server 2016. Es ist die zweite dieser Art, nach CVE-2017-11830 im November , auch der Entdecker ist derselbe. Lücke wie diese sind ganz nach dem Geschmack der Malware-Programmierer, denn sie erlauben es unsignierte Treiber auszuführen. Genau das sollte Device Guard eigentlich verhindern.

Die Schwachstelle CVE-2017-11885 im Routing and Remote Access Service (RRAS) aller Windows-Versionen ermöglicht es Code einzuschleusen und auszuführen. Sie ist nur deshalb nicht als kritisch eingestuft, weil der RRAS standardmäßig deaktiviert ist. Wenn Sie ihn aktiviert haben, behandeln Sie die Lücke als kritisch.

Exchange Server
Ein Update für Exchange Server 2016 schließt eine Spoofing-Lücke. Sie kann über Outlook Web Access (OWA) ausgenutzt werden, um an vertrauliche Informationen zu kommen. Das könnte etwa der NTLM-Hash des Benutzerpassworts sein. Ein erfolgreicher Exploit kann auch Ausgangspunkt eines Angriffs sein, der eine Kette weiterer Schwachstellen ausnutzt.

Ein weiteres Sicherheits-Update für Exchange 2013 und 2016 erwähnt Microsoft in der Sicherheitsempfehlung ADV170023, allerdings ohne Details zu nennen. Die beiden Schwachstellen in der Malware Protection Engine betreffen Exchange ebenfalls. Trotz der bevorstehenden Feiertage sollten Admins diese Updates so bald wie möglich installieren.

Malware Protection Engine
Bereits in der letzten Woche hat Microsoft ein Sicherheits-Update für das Scan-Modul (Malware Protection Engine) seiner Antivirusprodukte verteilt. Dazu gehören etwa Windows Defender, Security Essential und Forefront Endpoint Protection. Es beseitigt zwei gleichartige, als kritisch eingestufte Sicherheitslücken (CVE-2017-11937, CVE-2017-11940). Warum Microsoft diese Lücken mit einem Tag Abstand veröffentlicht hat, bleibt unklar.

Flash Player
Für den im Internet Explorer (ab Windows 8) und in Edge integrierten Flash Player reicht Microsoft ein Adobe-Update durch. Es beseitigt eine Schwachstelle, die Microsoft im Gegensatz zu Adobe als kritisch einstuft. Der neue Flash Player trägt die Versionsnummer 28.0.0.126.

Schließlich gibt es, wie in jedem Monat, auch im Dezember das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2317996