Im Vergleich zum Vormonat hat Microsoft beim Patch Day im August nochmals weniger Lücken gestopft. Waren es im Juni um die 100 und im Juli 54 Schwachstellen, sind es in diesem Monat lediglich 48 Sicherheitslücken. Als kritisch eingestufte Lücken betreffen Windows, den Internet Explorer sowie Edge. Weitere Sicherheits-Updates gibt es für Sharepoint, SQL Server und Hyper-V. Außerdem reicht Microsoft ein Update für den integrierten Flash Player durch. Detail-Informationen zu den gestopften Lücken muss man sich im unübersichtlichen Security Update Guide erarbeiten.
Internet Explorer
Im Internet Explorer (IE) 9 bis 11 hat Microsoft auch im August sieben Lücken geschlossen, von denen fünf als kritisch eingestuft sind. Sie können es einem Angreifer ermöglichen Code einzuschleusen und auszuführen. Einige der Lücken betreffen den Javascript-Interpreter (Scripting Engine) beider Microsoft-Browser, also auch den in Edge.
Edge
Der Browser Edge weist einmal mehr eine deutlich höhere Anzahl gestopfter Sicherheitslücken auf als der IE. In diesem Monat hat Microsoft 29 Schwachstellen beseitigt, von denen sich Edge fünf mit dem IE teilt. Insgesamt 21 Edge-Lücken stuft Microsoft als kritisch ein.
Office
Microsoft Office hatte bereits beim Update-Dienstag im Juli nur wenige Updates erhalten. Im August schließt Microsoft lediglich eine XSS-Lücke in Sharepoint. Allerdings hat Microsoft bereits Ende Juli einige Sicherheits-Updates für Outlook außer der Reihe ausgeliefert.
Windows
Zehn Sicherheitslücken unterschiedlicher Natur verteilen sich auf die verschiedenen Windows-Versionen und deren Komponenten. Als kritisch gilt eine weitere Lücke im Windows Suchdienst (CVE-2017-8620), nachdem Microsoft bereits im Juni und Juli sehr ähnliche Schwachstellen schließen musste. Auch die neue Lücke kann in einem Netzwerk über SMB (Server Message Block) ausgenutzt werden, ist jedoch keine SMB-Schwachstelle. Mit einer präparierten SMB-Nachricht kann ein Angreifer die Kontrolle über den angegriffenen Rechner erlangen. Nach solchen Schwachstellen suchen Malware-Programmierer, denn sie eignen sich, um Malware im Netzwerk zu verbreiten.
Weitere als kritisch eingestufte Lücken betreffen die PDF-Bibliothek, das JET-Datenbankmodul, den Eingabemethoden-Editor (IME) sowie das Linux Subsystem in Windows 10. Letzteres weist noch eine zweite Schwachstelle auf, eine DoS-Lücke. Eine der beiden Anfälligkeiten in der Virtualisierungs-Software Hyper-V ist durchaus eine recht ernste Sache, denn ein Programm im Gastsystem kann aus der virtuellen Maschine ausbrechen und Code auf dem Hostsystem ausführen. Dennoch stuft Microsoft diese Lücke (CVE-2017-8664) nicht als kritisch ein.
SQL Server
Eine Sicherheitslücke in SQL Server 2012, 2014 und 2016 kann es einem Angreifer mit Zugriffsberechtigung auf eine SQL-Datenbank ermöglichen, Informationen zu erhalten, auf die er an sich keinen Zugriff haben sollte. Ursache dafür ist, dass die SQL Server Analysedienste die Zugriffsrechte nicht ordnungsgemäß umsetzen.
Flash Player
Für den im Internet Explorer (ab Windows 8) und in Edge integrierten Flash Player reicht Microsoft ein Adobe-Update durch. Es beseitigt zwei Sicherheitslücken, von denen eine als kritisch eingestuft ist. Der neue Flash Player trägt die Versionsnummer 26.0.0.151.
Und schließlich gibt es, wie in jedem Monat, auch im August das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.