Microsoft hat am 12. Dezember den letzten Patch Day in diesem Jahr abgehalten und dabei wieder etliche Sicherheits-Updates bereit gestellt. Unter den 34 beseitigten Schwachstellen sind 21 Lücken, die Microsoft als kritisch einstuft. Davon betreffen 19 Edge und den Internet Explorer. Neben drei Windows-Schwachstellen stopft Microsoft auch vier Office-Lücken. Auch für den Exchange Server gibt es mal wieder Sicherheits-Updates.
Internet Explorer Für den IE 9 bis 11 gibt es eine neues kumulatives Sicherheits-Update. Damit behebt Microsoft in diesem Monat 13 IE-Schwachstellen, von denen der Hersteller zehn als kritisch eingestuft. Alle Lücken stecken in der Scripting Engine (Javascript). Edge Im Browser Edge stopft Microsoft in diesem Monat 14 Sicherheitslücken. Von diesen stufen die Redmonter alle bis auf eine als kritisch ein. Auch bei Edge gehen alle Schwachstellen auf das Konto der Scripting Engine, betreffen also Javascript. Die beiden Microsoft-Browser teilen sich vier dieser Lücken. Office Die Dezember-Updates für Microsofts Office-Familie beseitigen vier Schwachstellen, keine ist als kritisch eingestuft. Die Lücke CVE-2017-11935 in Office 2016 Klick-und-Los (Click-to-Run) ermöglicht es einem Angreifer mit einem präparierten Office-Dokument schädlichen Code einzuschleusen und auszuführen. Eine Sicherheitslücke in Sharepoint Enterprise Server 2016 (CVE-2017-11936) ermöglicht Cross-site Scripting-Angriffe (XSS). Außerdem hat Microsoft noch die Sicherheitsempfehlung ADV170021 veröffentlicht. Darin geht es um ein Update für Office 2010 und 2016 sowie Word 2007 bis 2016, das Dynamic Update Exchange Protocol (DDE) deaktiviert. Damit soll Malware ein Riegel vorgeschoben werden, die den Datenaustausch zwischen Office und anderer Software missbraucht, um darüber Schadcode aus dem Internet nachzuladen. Windows In den verschiedenen Windows-Versionen beseitigt Microsoft insgesamt drei Sicherheitslücken. Hervorzuheben ist eine Schwachstelle im Device Guard (CVE-2017-11899) bei Windows 10 und Server 2016. Es ist die zweite dieser Art, nach CVE-2017-11830 im November , auch der Entdecker ist derselbe. Lücke wie diese sind ganz nach dem Geschmack der Malware-Programmierer, denn sie erlauben es unsignierte Treiber auszuführen. Genau das sollte Device Guard eigentlich verhindern.
Die Schwachstelle CVE-2017-11885 im Routing and Remote Access Service (RRAS) aller Windows-Versionen ermöglicht es Code einzuschleusen und auszuführen. Sie ist nur deshalb nicht als kritisch eingestuft, weil der RRAS standardmäßig deaktiviert ist. Wenn Sie ihn aktiviert haben, behandeln Sie die Lücke als kritisch. Exchange Server Ein Update für Exchange Server 2016 schließt eine Spoofing-Lücke. Sie kann über Outlook Web Access (OWA) ausgenutzt werden, um an vertrauliche Informationen zu kommen. Das könnte etwa der NTLM-Hash des Benutzerpassworts sein. Ein erfolgreicher Exploit kann auch Ausgangspunkt eines Angriffs sein, der eine Kette weiterer Schwachstellen ausnutzt.
Ein weiteres Sicherheits-Update für Exchange 2013 und 2016 erwähnt Microsoft in der Sicherheitsempfehlung ADV170023, allerdings ohne Details zu nennen. Die beiden Schwachstellen in der Malware Protection Engine betreffen Exchange ebenfalls. Trotz der bevorstehenden Feiertage sollten Admins diese Updates so bald wie möglich installieren. Malware Protection Engine Bereits in der letzten Woche hat Microsoft ein Sicherheits-Update für das Scan-Modul (Malware Protection Engine) seiner Antivirusprodukte verteilt. Dazu gehören etwa Windows Defender, Security Essential und Forefront Endpoint Protection. Es beseitigt zwei gleichartige, als kritisch eingestufte Sicherheitslücken (CVE-2017-11937, CVE-2017-11940). Warum Microsoft diese Lücken mit einem Tag Abstand veröffentlicht hat, bleibt unklar. Flash Player Für den im Internet Explorer (ab Windows 8) und in Edge integrierten Flash Player reicht Microsoft ein Adobe-Update durch. Es beseitigt eine Schwachstelle, die Microsoft im Gegensatz zu Adobe als kritisch einstuft. Der neue Flash Player trägt die Versionsnummer 28.0.0.126. Schließlich gibt es, wie in jedem Monat, auch im Dezember das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.