Microsoft stopft 62 Lücken zum Oktober-Patchday

Microsoft hat wieder seinen monatlichen Patch Day abgehalten und dabei zahlreiche Sicherheits-Updates bereit gestellt. Unter den 62 beseitigten Schwachstellen sind 27 Lücken, die Microsoft als kritisch einstuft. Sie betreffen Windows, Edge, den Internet Explorer und Office sowie Skype for Business, Lync und den quelloffenen Javascript-Compiler Chakra Core. Eine Lücke in Office wird bereits aktiv ausgenutzt. Adobe hat in diesem Monat keine Sicherheits-Updates beigesteuert, lediglich ein Bugfix-Update für den Flash Player, das Microsoft jedoch erst später ausliefern wird. Internet Explorer Für den IE 9 bis 11 gibt es eine neues kumulatives Sicherheits-Update. Damit stopft Microsoft in diesem Monat fünf IE-Schwachstellen, von denen alle bis auf eine als kritisch eingestuft sind. Zwei dieser Lücken stecken in der Scripting Engine (Javascript). Edge In Edge schließt Microsoft diesmal 17 Sicherheitslücken. Von diesen stuft Microsoft alle bis auf zwei Datenlecks als kritisch ein. Einmal mehr gehen etliche dieser Schwachstellen auf das Konto der Scripting Engine, betreffen also Javascript. Office Die Updates für Microsofts Office-Familie beseitigen in diesem Monat acht Schwachstellen, von denen keine als kritisch eingestuft ist. Zwei Office-Lücken können es einem Angreifer ermöglichen, Code einzuschleusen und mit Benutzerrechten auszuführen, wenn ein Benutzer ein speziell präpariertes Dokument öffnet. Das kann etwa eine Word-Datei sein, die als Mail-Anhang verschickt wird. Eine dieser Schwachstellen (CVE-2017-11826), eine Word-Lücke, wird bereits aktiv für Angriffe ausgenutzt. Windows In den verschiedenen Windows-Versionen beseitigt Microsoft insgesamt 30 Sicherheitslücken. Als kritisch gelten zwei Schwachstellen in Windows-Grafikkomponenten, zwei in der Windows Shell und eine in der Suchfunktion. Hinzu kommt eine kritische Lücke in der Bibliothek dnsapi.dll, die Windows 8 und höher sowie Server 2012 und höher betrifft. Die DLL kommt bei DNS-Anfragen (Domain Name System) zu Einsatz. Bei erfolgreicher Ausnutzung kann ein Angreifer Code einschleusen und mit Systemrechten ausführen. Windows 10 bringt ein Linux Subsystem mit, das auf Ubuntu basiert. Es ist standardmäßig deaktiviert. Es weist eine DoS-Schwachstelle auf (Denial of Service), die ein Angreifer mit einem speziell erstellten Programm ausnutzen könnte. Dazu müsste er sich allerdings erstmal die Möglichkeit verschaffen dieses Programm auszuführen. JET Database Engine Das Datenbankmodul JET enthält zwei Sicherheitslücken, die es einem Angreifer ermöglichen Code einzuschleusen und auszuführen. Dazu muss er einen Benutzer dazu verleiten, eine speziell präparierte Excel-Datei zu öffnen – eine Vorschau genügt bereits. Im Erfolgsfall kann der Angreifer die Kontrolle über das System übernehmen. Da für den Erfolg die Mitwirkung eines Benutzers nötig ist, stuft Microsoft solche Lücken regelmäßig nicht als kritisch ein. Angriffe sind bislang nicht bekannt. Trusted Platform Module Vor allem für Unternehmen wichtig ist die Sicherheitsempfehlung ADV170012 , die Microsoft als kritisch einstuft. Ursache sind Fehler in einigen Chipsätzen, die ein Trusted Platform Module (TPM) des Chipherstellers Infineon enthalten. Dadurch sind mit TPM-Unterstützung generierte Schlüssel schwächer als sie sein sollten. Dies betrifft zum Beispiel die Festplattenverschlüsselung BitLocker. Microsoft stellt einen Patch als temporären Workaround bereit. Doch den eigentlichen Fehler müssen die Hardware-Hersteller mit einem Firmware-Update beheben. Infineon hält solche Updates bereit, sie werden jedoch nicht über Windows Update verteilt. Nach dem Einspielen einer korrigierten Firmware müssen die zuvor erzeugten (zu schwachen) Schlüssel neu generiert werden. Schließlich gibt es, wie in jedem Monat, auch im Oktober das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.