Mit den beim Patch Day im Juni bereitgestellten Updates will Microsoft insgesamt 88 Sicherheitslücken schließen. Das sind so viel wie schon seit zwei Jahren nicht mehr. Damals, im Juni 2017 , ging es um publik gemachte Schwachstellen aus dem NSA-Fundus, die durch den Schädling WannaCry genutzt wurden. Wie im Mai dieses Jahres gab es auch damals sogar für Windows XP Updates. Im Juni 2019 sind unter den gestopften Lücken 22 Schwachstellen, die Microsoft als kritisch einstuft. Sie betreffen Windows 7 und Server 2008 R2 sowie Edge, Internet Explorer (IE) und HyperV. Die übrigen Lücken stuft Microsoft bis auf eine als hohes Risiko ein. Details zu allen Lücken bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI oder Cisco Talos das Thema Patch Day auf.
Internet Explorer (IE) Das neue kumulative Sicherheits-Update (4503259) für den Internet Explorer 9 bis 11 beseitigt im Juni sieben Schwachstellen in dem betagten Browser. Fünf dieser Lücken sind als kritisch eingestuft. Zwei Schwachstellen teilt sich der IE mit Edge.
Edge Im Browser Edge hat Microsoft im Juni 13 Lücken gestopft, von denen der Hersteller alle bis auf zwei als kritisch einstuft. Die Scripting Engine „Chakra“ ist auch diesmal in vielen Fällen die Fehlerquelle. Chakra und Edge behandeln Speicherobjekte nicht korrekt und ermöglichen es so einem Angreifer Code einzuschleusen und mit Benutzerrechten auszuführen. Office Für seine Office-Familie liefert Microsoft im Juni Updates gegen sieben Sicherheitslücken aus. Microsoft stuft alle Office-Lücken als wichtig ein. Zwei dieser Schwachstellen sind geeignet, um mittels präparierter Dateien beliebigen Code einzuschleusen und diesen mit den Rechten des angemeldeten Benutzers auszuführen. Eine dieser beiden Schwachstellen betrifft auch Office für Mac. Hinzu kommen vier XSS-Lücken in Sharepoint und eine DoS-Lücke in Lync Server 2010 und 2013. Windows Der überwiegende Teil der Schwachstellen, 61 Lücken, verteilt sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. Als kritisch stuft Microsoft fünf dieser Lücken ein. Dazu gehören drei Schwachstellen in HyperV. Code, der im Gastsystem gestartet wird, könnte aus der virtuellen Maschine ausbrechen und auf dem Wirtssystem (Host) ausgeführt werden. Eine Sicherheitslücke (CVE-2019-0888) in ActiveX Data Objects (ADO) könnte genutzt werden, um Code einzuschleusen und auszuführen. Dazu müsste ein Angreifer ein potenzielles Opfer auf eine speziell präparierte Web-Seite locken. In der Speech-API (Umwandlung von Text in Sprache) von Windows 7 und Server 2008 R2 steckt ebenfalls eine als kritisch eingestufte Lücke (CVE-2019-0985). Weitere Updates In der in allen Windows-Versionen enthaltenen Jet-Datenbank-Engine hat Microsoft sieben Sicherheitslücken geschlossen, die geeignet sind, um Code einzuschleusen und auszuführen, jedoch nur als wichtig eingestuft sind. In der Grafikschnittstelle GDI schließt Microsoft 14 Lücken, die zur Offenlegung von Informationen führen können. Flash Player Adobes Update für den Flash Player, das Microsoft durchreicht, schließt eine Sicherheitslücke, die als kritisch eingestuft ist. Der neue Flash Player hat die Versionsnummer 32.0.0.207. Schließlich gibt es, wie in jedem Monat, auch im Juni das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 9. Juli 2019.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.