Beim ersten Update-Dienstag des Jahres bietet Microsoft nur schmale Kost. Lediglich drei Sicherheitslücken schließt der Hersteller in seinen Produkten, darunter eine Word-Schwachstelle im aktuellen Office-Paket.
Microsoft beginnt das Jahr 2017 mit einem schlanken Patch Day. Vier
Security Bulletins
, wahrscheinlich die letzten ihrer Art, behandeln Schwachstellen in Edge und in Office 2016 sowie eine DoS-Lücke in älteren Windows-Versionen. Lediglich die Word-Lücke stuft Microsoft als kritisch ein. Hinzu kommt ein Sicherheits-Update für den Flash Player, der im Internet Explorer (ab Windows 8) und in Edge integriert ist. Der Internet Explorer erhält erstmals seit längerer Zeit kein neues Update.
Ab Februar will Microsoft keine Security Bulletins mehr veröffentlichen. Stattdessen soll ein so genannter „Leitfaden für Sicherheitsupdates“ Informationen über geschlossene Sicherheitslücken und verfügbare Updates liefern. Damit sollen Administratoren und Anwender die anzuzeigenden Informationen gezielt auf ihre Bedürfnisse abstimmen können. Das
neue Portal
kann bereits als Preview (Vorschau) ausprobiert werden. Es erfüllt seinen Zweck allerdings bislang mehr schlecht als recht. Die Bedienung ist umständlich und die Informationen zu den Sicherheitslücken stimmen oft nicht mit denen in den Security Bulletins überein.
Die Security Bulletins vom 10. Januar 2017
MS17-001 – Edge (hoch)
Im Browser Edge beseitigt Microsoft eine Schwachstelle bei der Durchsetzung der Richtlinien für domänenübergreifende Zugriffe. Ein Angreifer könnte ein potenzielles Opfer auf eine präparierte Web-Seite locken und eingegebene Daten in eine andere Domäne einfügen. Er könnte sich auf diese Weise erweiterte Rechte im Browser verschaffen.
MS17-002 – Office (kritisch)
In Microsoft Office 2016 steckt eine als kritisch eingestufte Word-Lücke, die auch Sharepoint Enterprise Server 2016 betrifft. Bringt ein Angreifer einen Benutzer dazu ein speziell präpariertes Office-Dokument zu öffnen, kann er beliebigen Code einschleusen und im Kontext des Benutzers ausführen. Der Angreifer könnte eine solche Datei etwa als Mail-Anhang versenden.
MS17-003 – Flash Player (kritisch)
Adobe hat ein Sicherheits-Update für den Flash Player bereit gestellt. Dies betrifft auch den Flash Player, der im Internet Explorer (ab Windows 8) und in Edge integriert ist. Auf diesen bezieht sich das Microsoft Security Bulletin, das 12 gestopfte Lücken ausweist. Der Flash Player sollte nach der Update-Installation die neue Versionsnummer 24.0.0.194 tragen.
MS17-004 – LSASS (hoch)
Der Subsystemdienst für die lokale Sicherheitsautorität (Local Security Authority Subsystem Service, LSASS) älterer Windows-Versionen weist eine DoS-Lücke auf (Denial of Service). Betroffen sind Windows 7 und Vista sowie Server 2008 und 2008 R2. Nutzt ein Angreifer diese Schwachstelle aus, führt dies zu einem Neustart des Systems. Die Schwachstelle wurde bereits vorab öffentlich bekannt gemacht, entsprechende Angriffe sind jedoch bislang nicht bekannt.
Außerdem gibt es, wie in jedem Monat, auch im Januar das
Windows-Tool zum Entfernen bösartiger Software
in einer neuen Version.
|
Bulletin |
Risikostufe |
Ausnutz-barkeit |
Effekt |
anfällige Software/Komponente(n) |
Neustartnötig? |
|---|---|---|---|---|---|
|
hoch |
1 |
EoP |
Windows 10, Server 2016; Edge |
ja |
|
|
kritisch |
1 |
RCE |
Microsoft Office 2016; Word, Sharepoint Enterprise Server |
u.U. |
|
|
kritisch |
– |
RCE |
Windows 8.1, 10, RT, Server 2012, 2012 R2, 2016; integrierter Flash Player (IE, Edge) |
ja |
|
|
hoch |
3 |
DoS |
Windows Vista,7 Server 2008, 2008 R2; LSASS |
ja |
u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
DoS – Denial of Service: Dienstverweigerung / Software-Absturz
SFB – Security Feature Bypass: Umgehen einer Sicherheitsfunktion
Ausnutzbarkeit:
0 – wird bereits ausgenutzt
1 – Ausnutzung wahrscheinlich
2 – Ausnutzung weniger wahrscheinlich
3 – Ausnutzung unwahrscheinlich