Microsoft beseitigt acht 0-Day-Lücken

Die beim Patch Day im Juli bereitgestellten Updates sollen insgesamt 77 Sicherheitslücken schließen. Darunter sind 15 Schwachstellen, die Microsoft als kritisch einstuft. Sie betreffen Windows, die Browser Edge und Internet Explorer, Azure DevOps Server, Team Foundation Server sowie das .NET Framework. Die übrigen Lücken stuft Microsoft bis auf eine als hohes Risiko ein, auch die 0-Day-Lücken. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI oder Cisco Talos das Thema Patch Day auf. Internet Explorer (IE) Das neue kumulative Sicherheits-Update (4507434) für den Internet Explorer 9 bis 11 beseitigt im Juli sechs Schwachstellen in dem betagten Browser. Alle Lücken sind als kritisch eingestuft. Zwei Schwachstellen teilt sich der IE mit Edge. Edge Im Browser Edge hat Microsoft im Juli sieben Lücken gestopft, die der Hersteller allesamt als kritisch einstuft. Die Scripting Engine „Chakra“ ist auch diesmal in vielen Fällen die Fehlerquelle. Chakra und Edge behandeln Speicherobjekte nicht korrekt und ermöglichen es so einem Angreifer Code einzuschleusen und mit Benutzerrechten auszuführen. Office Für seine Office-Familie liefert Microsoft auch im Juli Updates gegen sieben Sicherheitslücken aus. Microsoft stuft alle Office-Lücken als wichtig ein. Zwei dieser Schwachstellen sind geeignet, um mittels präparierter Excel-Dateien beliebigen Code einzuschleusen und diesen mit den Rechten des angemeldeten Benutzers auszuführen. Anfällig sind alle Excel-Versionen, einschließlich Office 2016 für Mac. Windows Der überwiegende Teil der Schwachstellen, 50 Lücken, verteilt sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. Als kritisch stuft Microsoft nur zwei dieser Lücken ein. Eine Sicherheitslücke in der Grafikschnittstelle GDI+ aller Windows-Versionen könnte sowohl mit einer präparierten Web-Seite als auch mit einer speziell gestalteten Datei ausgenutzt werden, um die Kontrolle über das System zu übernehmen. Eine Schwachstelle im DHCP Server (CVE-2019-0785) betrifft alle Server-Editionen ab 2012. Sendet ein Angreifer speziell präparierte Pakete an einen anfälligen DHCP Server, der sich im Failover-Modus befindet, kann er Code einschleusen und ausführen. Unter Beschuss Eine Schwachstelle im Druckdienst splwow64 (CVE-2019-0880) ermöglicht es einem Angreifer sich höhere Berechtigungen zu verschaffen. Die Lücke wird laut Microsoft bereits für Angriffe auf ältere Systeme genutzt. Ein Angreifer kombiniert diese Lücke mit anderen Schwachstellen, um seinen Code mit mehr Rechten ausführen zu können. Das gilt sinngemäß auch für eine Sicherheitslücke im Windows-Kernel (CVE-2019-1132) von Windows 7 sowie in Server 2008 und Server 2008 R2. Weitere Server-Lücken Als kritisch stuft Microsoft auch eine Schwachstelle (CVE-2019-1068) in SQL Server 2014, 2016 und 2017 ein. Sie betrifft auch Microsoft SQL Server auf Linux-Systemen und war bereits im Vorfeld bekannt. Mit speziell präparierten Anfragen kann ein Angreifer Code mit den Rechten des Datenbankkontos ausführen. In Exchange schließt Microsoft in diesem Monat drei Sicherheitslücken. .NET Framework In praktisch allen Versionen des .NET Framework steckt eine als kritisch geltende Schwachstelle (CVE-2019-1113). Öffnet ein Anwender eine speziell präparierte Datei, kann damit eingeschleuster Code mit Benutzerrechten ausgeführt werden. Angriffe oder Exploit-Code sind bislang nicht bekannt, Microsoft hält die Ausnutzung dieser Lücke jedoch für wahrscheinlich. Flash Player Adobes Update für den Flash Player, das Microsoft durchreicht, beseitigt lediglich einige Bugs und schließt keine Sicherheitslücken. Der neue Flash Player hat die Versionsnummer 32.0.0.223.

Schließlich gibt es, wie in jedem Monat, auch im Juli das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 13. August 2019.