2336549

Sicherheitslücken in Exchange und Sharepoint

14.03.2018 | 09:01 Uhr |

Beim Patch Day im März schließt Microsoft 75 Sicherheitslücken seinen Produkten. Darunter sind 14 Schwachstellen, die Microsoft als kritisch einstuft. Diese betreffen den Internet Explorer und Edge.

In diesem Monat hat Microsoft beim Update-Dienstag ein großes Paket mit Sicherheits-Updates geschnürt. Die gestern veröffentlichten Sicherheits-Updates beheben insgesamt 75 Schwachstellen in Windows, Office, Exchange und ASP.NET. Alle 14 gestopften Lücken, die Microsoft als kritisch einstuft, betreffen ausschließlich die Browser Edge und Internet Explorer. Den übrigen Schwachstellen weist Microsoft die Risikoeinstufung hoch zu. Darunter sind etliche Lücken, die zu einer Rechteausweitung genutzt werden könnten. Dies betrifft etwa die Schnittstelle GDI sowie Sharepoint.

Internet Explorer
Für den IE 9 bis 11 gibt es eine neues kumulatives Sicherheits-Update (KB4089187). Damit behebt Microsoft in diesem Monat sieben IE-Schwachstellen, von denen wieder mehrere in der Scripting Engine (Javascript) stecken. Zwei der IE-Lücken sind als kritisch eingestuft. Eine Schwachstelle (CVE-2018-0891) teilt sich der IE mit Edge.

Edge
Im Browser Edge stopft Microsoft in diesem Monat 16 Sicherheitslücken. Von diesen stufen die Redmonter alle bis auf vier als kritisch ein. Auch bei Edge gehen die meisten kritischen Schwachstellen auf das Konto der Scripting Engine, betreffen also Javascript. Genauer gesagt betreffen mit einer Ausnahme alle als kritisch eingestuften Lücken im März die Scripting Engine.

Office
In seiner Office-Produktfamilie beseitigt Microsoft 17 Schwachstellen. Eine Lücke in Access 2010, 2013 und 2016 (CVE-2018-0903) eignet sich, um Code einzuschleusen und auszuführen. Auch eine weitere Lücke (CVE-2018-0922) in Office 2010, 2013 und 2016 taugt dafür. Diese betrifft unter anderem auch alle Word-Versionen seit 2007 sowie den kostenlosen Word Viewer. In beiden Fällen müsste ein Benutzer eine speziell präparierte Datei öffnen. Im Sharepoint Server hat Microsoft 13 Schwachstellen beseitigt, die es einem Angreifer ermöglichen können sich höhere Rechte zu verschaffen.

Exchange Server
Im Exchange Server behebt Microsoft drei Angriffspunkte. Eine der Lücken (CVE-2018-0940) war bereits vor dem Patch Day öffentlich bekannt. Sie betrifft Outlook Web Access (OWA). Ein Angreifer könnte die Lücke ausnutzen, um Benutzern eine gefälschte Anmeldeseite zu präsentieren und Zugangsdaten abzugreifen. Dazu müsste der Benutzer einen speziellen Link anklicken. Eine solche Schwachstelle wird gerne für gezielte Angriffe wie Spear-Phishing genutzt.

Windows
Die Mehrzahl der übrigen Lücken verteilt sich auf die verschiedenen Windows-Versionen. So beseitigt Microsoft insgesamt 14 Sicherheitslücken im Windows-Kernel, durch deren Ausnutzung sich ein Angreifer Zugriff auf vertrauliche Informationen verschaffen könnte. Für eine Rechteausweitung eignen sich drei Schwachstellen in der Grafikschnittstelle GDI, drei in der Desktop Bridge sowie je eine eine im Kernel, im Windows Installer und im Video-Steuerelement. Zwei Lücken betreffen Hyper-V, eine Lücke in der Windows Shell kann ausgenutzt werden, um eingeschleusten Code auszuführen.

Flash Player
Für den im Internet Explorer (ab Windows 8) und in Edge integrierten Flash Player reicht Microsoft ein Adobe-Update durch. Es beseitigt zwei als kritisch eingestufte Schwachstellen. Der neue Flash Player trägt die Versionsnummer 29.0.0.113.

Schließlich gibt es, wie in jedem Monat, auch im März das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 10. April.


PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2336549