Channel Header
2448318

Microsoft schließt 94 Sicherheitslücken

14.08.2019 | 08:40 Uhr | Frank Ziemann

Beim Update-Dienstag im August hat Microsoft 29 als kritisch eingestufte Schwachstellen behoben. Eine LNK-Lücke erinnert an die Stuxnet-Malware aus 2010.

Die im August bereitgestellten Updates sollen insgesamt 94 Sicherheitslücken schließen. Darunter sind 29 Schwachstellen, die Microsoft als kritisch einstuft. Diese betreffen Windows, die Browser Edge und Internet Explorer sowie die Office-Familie. Die übrigen Lücken stuft Microsoft als hohes Risiko ein. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI oder Cisco Talos das Thema Patch Day auf.

Internet Explorer (IE)
Das neue kumulative Sicherheits-Update (4511872) für den Internet Explorer 9 bis 11 beseitigt im August vier Schwachstellen in dem betagten Browser. Zwei Lücken sind als kritisch eingestuft. Die beiden anderen Schwachstellen teilt sich der IE mit Edge.

Edge
Im Browser Edge hat Microsoft im August zehn Lücken gestopft, von denen der Hersteller sieben als kritisch einstuft. Die Scripting Engine „Chakra“ ist auch diesmal in vielen Fällen die Fehlerquelle. Chakra und Edge behandeln Speicherobjekte nicht korrekt und ermöglichen es so einem Angreifer Code einzuschleusen und mit Benutzerrechten auszuführen.

Office
Für seine Office-Familie liefert Microsoft im August Updates gegen 13 Sicherheitslücken aus. Microsoft stuft fünf Office-Lücken als kritisch ein. Zwei dieser Schwachstellen sind geeignet, um mittels präparierter Word-Dateien beliebigen Code einzuschleusen und diesen mit den Rechten des angemeldeten Benutzers auszuführen. In einem Fall (CVE-2019-1201) sind alle Word-Versionen anfällig, einschließlich Office 2016 und 2019 für Mac. Die zweite Word-Lücke (CVE-2019-1205) betrifft nur neuere Office-Versionen, inklusive Office 2016 und 2019 Mac. Zwei Outlook-Lücken gelten ebenfalls als kritisch. Bei einer (CVE-2019-1199) genügt bereits das Öffnen einer Mail im Vorschaufenster, um Code einzuschleusen und auszuführen.

Windows
Der überwiegende Teil der Schwachstellen, 72 Lücken, verteilt sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. Als kritisch stuft Microsoft 16 dieser Lücken ein. Der fehlerhafte Umgang mit eingebetteten Fonts führt zu sechs ausnutzbaren Schwachstellen in allen Windows-Versionen, inklusive RT und Server.

Ebenfalls alle Windows-Versionen sind anfällig für zwei Schwachstellen in den Remote-Desktop-Diensten (vormals Terminaldienste), zwei weitere Lücken gleicher Art betreffen lediglich Windows 10 und die damit verwandten Server-Editionen. Mittels spezieller RDP-Pakete (Remote Desktop Protocol) kann ein nicht authentifizierter Angreifer Code einschleusen und ausführen.

Als kritisch stuft Microsoft auch zwei DHCP-Lücken (Dynamic Host Configuration Protocol) ein – eine im DHCP-Client und eine im DHCP-Server. Erstere betrifft alle Windows-Versionen, Letztere nur Windows Server 2008. Eine Schwachstelle in Hyper-V (CVE-2019-0965) kann aus dem Gastsystem heraus genutzt werden, um beliebigen Code auf dem Hostsystem auszuführen. Zu diesen schwerwiegenden Schwachstellen kommen noch einige DoS-Lücken (Denial of Service) in den vorgenannten Komponenten, also RDP, DHCP und Hyper-V.

Erinnerungen an Stuxnet weckt eine LNK-Schwachstelle (CVE-2019-1188) in Windows 10 und Server 2019. Platziert ein Angreifer eine präparierte LNK-Datei auf einem USB-Medium oder einer Netzwerkfreigabe und öffnet ein Benutzer diese Datei, wird Code mit Benutzerrechten ausgeführt. Mit einem derart präparierten USB-Stick kann auch ein Angriff auf ein System ohne Netzwerkverbindung gelingen, wenn ein zu neugieriger Benutzer mithilft.

Flash Player
Adobes Update für den Flash Player, das Microsoft durchreicht, beseitigt wie im Juli lediglich einige Bugs und schließt keine Sicherheitslücken. Der neue Flash Player hat die Versionsnummer 32.0.0.238.

Schließlich gibt es, wie in jedem Monat, auch im August das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 10. September 2019.

Das könnte Sie interessieren: Windows 10 legal für 10 Euro kaufen


PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2448318