Microsoft schließt 54 Lücken in Windows, Browser und Office

Microsoft hat wieder seinen monatlichen Patch Day abgehalten und dabei zahlreiche Sicherheits-Updates bereit gestellt. Unter den 54 beseitigten Schwachstellen sind 20 Lücken, die Microsoft als kritisch einstuft. Sie betreffen Edge und den Internet Explorer. Neben etlichen Windows-Schwachstellen stopft Microsoft auch einige Office-Lücken. Einige der auf den ersten Blick vergleichsweise harmlos erscheinenden Schwachstellen entfalten ihr schädliches Potenzial erst im Zusammenspiel mit weiteren Lücken. Internet Explorer Für den IE 9 bis 11 gibt es eine neues kumulatives Sicherheits-Update. Damit behebt Microsoft in diesem Monat 12 IE-Schwachstellen, von denen der Hersteller acht als kritisch eingestuft. Sechs dieser Lücken stecken in der Scripting Engine (Javascript). Edge Auf Edge entfallen in diesem Monat 24 Sicherheitslücken. Von diesen stuft Microsoft 16 als kritisch ein, also zwei Drittel. Auch bei Edge gehen etliche dieser Schwachstellen auf das Konto der Scripting Engine, betreffen also Javascript. Beide Browser teilen sich mehrere dieser Lücken. Office In Microsofts Office-Familie beseitigen die November-Updates sechs Schwachstellen, von denen keine als kritisch eingestuft ist. Die Excel-Lücke CVE-2017-11877 ermöglicht es schädlichem Code, die an sich strengen Makro-Richtlinien zu umgehen. Das bedeutet, dass Excel-Dokumente aus Mail-Anhängen mit aktivierten Makros geöffnet werden könnten. Eine Sicherheitslücke im Project Server kann es einem angemeldeten Benutzer ermöglichen sich höhere Rechte zu verschaffen. Dies wiederum kann einen Angreifer in die Lage versetzen, mittels einer präparierten Web-Seite, auf die er den Benutzer lockt, mit dessen Rechten auf Dokumente zuzugreifen. Außerdem hat Microsoft noch die Sicherheitsempfehlung ADV170020 veröffentlicht. Darin steht wenig Konkretes – es ist lediglich ein Hinweis, dass es ein Update für Office 2010 bis 2016 gibt, das zusätzliche Sicherheitsmaßnahmen implementiert. Möglicherweise soll damit Malware ein Riegel vorgeschoben werden, die den Datenaustausch zwischen Office und anderer Software via Dynamic Data Exchange (DDE) missbraucht. In letzter Zeit sind einige Schädlinge aufgetaucht, die darüber Schadcode aus dem Internet nachladen. Windows In den verschiedenen Windows-Versionen beseitigt Microsoft insgesamt 18 Sicherheitslücken. Hervorzuheben ist eine Schwachstelle im Device Guard (CVE-2017-11830) bei Windows 10 und Server 2016. Auch die Versionen 1709 (Fall Creators Update) sind betroffen. Diese Lücke ist ganz nach dem Geschmack der Malware-Programmierer, denn sie erlaubt es einen unsignierten Treiber auszuführen. Genau das sollte Device Guard eigentlich verhindern. In ASP.NET werden drei Schwachstellen beseitigt, von denen zwei bereits vorab öffentlich bekannt waren. Flash Player Für den im Internet Explorer (ab Windows 8) und in Edge integrierten Flash Player reicht Microsoft ein Adobe-Update durch. Es beseitigt fünf als kritisch eingestufte Sicherheitslücken. Der neue Flash Player trägt die Versionsnummer 27.0.0.187. Schließlich gibt es, wie in jedem Monat, auch im November das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.