2240924

Microsoft stopft 40 Lücken in Windows und Office

14.12.2016 | 09:05 Uhr |

Beim Update-Dienstag im Dezember hat Microsoft 12 neue Security Bulletins veröffentlicht, die insgesamt 40 Sicherheitslücken behandeln. Sie betreffen Windows, Internet Explorer, Edge, Office und das .NET Framework.

Microsoft schließt mit seinem monatlichen Sicherheits-Updates beim Patch Day im Dezember 40 Sicherheitslücken, die sich auf 11 Security Bulletins verteilen. Hinzu kommt ein Bulletin, das ein Sicherheits-Update für den integrierten Flash Player behandelt. Dies beseitigt weitere 16 Schwachstellen. Als kritisch eingestufte Schwachstellen betreffen Windows, die Browser IE und Edge sowie Microsoft Office. Ab Februar will Microsoft die bisherigen Security Bulletins durch einen so genannten Security Updates Guide ersetzen, der bereits in einer englischsprachigen Vorabversion (Preview) ausprobiert werden kann.

MS16-144 – Internet Explorer (kritisch)
Im Internet Explorer schließt Microsoft 8 Schwachstellen, von denen bislang noch keine für Angriffe ausgenutzt wird. Mehrere dieser Lücken sind geeignet, um eingeschleusten Code auszuführen. Andere Schwachstellen können einem Angreifer den Zugriff auf vertrauliche Informationen ermöglichen. Eine Schwachstelle kann es einem Angreifer ermöglichen  Sicherheitsfunktionen zu umgehen. Vier der im IE gestopften Lücken betreffen auch Edge.

MS16-145 – Edge (kritisch)
Auch im Dezember muss Microsoft im neuen Browser Edge wieder mehr Lücken schließen als im alten Internet Explorer. Vier der elf Schwachstellen in diesem Bulletin teilt sich Edge mit seinem Vorgänger. Die meisten der Edge-Lücken eignen sich, um Code einzuschleusen und auszuführen. Hinzu kommen zwei Datenlecks sowie eine Schwachstelle, die es einem Angreifer ermöglichen kann Sicherheitsfunktionen zu umgehen.

MS16-146 – Grafikkomponente (kritisch)
Zwei Sicherheitslücken in der Windows-Grafik sind geeignet, um eingeschleusten Code auszuführen. Hinzu kommt ein nicht als kritisch eingestuftes Datenleck in der Schnittstelle GDI+. Keine der drei Schwachstellen betrifft alle Windows-Versionen. So findet sich das GDI-Datenleck nur in Vista sowie Server 2008 und Server 2008 R2. Nur Windows 10 und Server 2016 sind für beide kritischen Lücken anfällig, andere Windows-Versionen nur für eine der beiden oder keine.

MS16-147 – Uniscribe (kritisch)
Uniscribe ist eine mit Windows 2000 eingeführte Programmbibliothek (usp10.dll) für den Umgang mit Unicode-Texten in unterschiedlichen Schriftsystemen, etwa Arabisch oder asiatische Schriften. Das Update zu diesem Bulletin beseitigt eine kritische Schwachstelle, die es einem Angreifer ermöglicht beliebigen Code einzuschleusen und auszuführen. Dazu muss er ein potenzielles Opfer dazu bringen eine speziell präparierte Web-Seite zu besuchen oder ein präpariertes Dokument zu öffnen. Alle Windows-Versionen sind betroffen.

MS16-148 – Microsoft Office (kritisch)
Alle unterstützten Versionen von Microsoft Office, außer der für Mac, weisen mehrere der 15 Schwachstellen auf, die Microsoft im Office-Bulletin dieses Monats behandelt. Die Lücken verteilen sich auf die Office-Anwendungen Word, Excel und Publisher. Auch die kostenlosen Viewer für Word- und Excel-Dokumente sind anfällig. Während die meisten der 15 Lücken lediglich zur Offenlegung vertraulicher Informationen genutzt werden können, ermöglichen fünf Schwachstellen einem Angreifer Code einzuschleusen und auszuführen.

MS16-149 – Windows (hoch)
Dieses Bulletin behandelt ein Datenleck im Verschlüsselungstreiber aller Windows-Versionen sowie eine Schwachstelle im Windows Installer. Letztere könnte ein lokal angemeldeter Angreifer ausnutzen, um sich höhere Berechtigungen zu verschaffen. Auch diese Lücke betrifft alle Windows-Versionen. Sie besteht, weil der Windows Installer Programmbibliotheken in unsicherer Weise lädt. Das bedeutet, ein Angreifer könnte dem Installer eine präparierte DLL unterschieben, indem er sie an einer geeigneten Stelle im Dateisystem ablegt.

MS16-150 – sicherer Kernelmodus (hoch)
Eine Schwachstelle im sicheren Kernelmodus von Windows 10 und Server 2016 kann es einem Angreifer ermöglichen sich höhere Berechtigungen zu verschaffen. Der Angreifer muss sich dazu lokal anmelden und ein speziell gestaltetes Programm ausführen. Er kann dadurch virtuelle Vertrauensebenen verletzen.

MS16-151 – Kernelmodustreiber (hoch)
Zwei Sicherheitslücken im Kernelmodustreiber win2k.sys aller Windows-Versionen ermöglichen es einem lokal angemeldeten Angreifer sich höhere Berechtigungen zu verschaffen. Dazu muss er ein speziell gestaltetes Programm ausführen und kann im Erfolgsfall die Kontrolle über das System erlangen.

MS16-152 – Kernel (hoch)
Windows 10 und Server 2016 weisen eine Schwachstelle im Kernel auf, die zur Offenlegung vertraulicher Informationen führen kann. Dazu muss ein lokal angemeldeter Benutzer ein speziell präpariertes Programm ausführen.

MS16-153 – Protokolldateisystemtreiber (hoch)
Im Treiber des gemeinsamen Protokolldateisystems (Common Log File System, CLFS) aller Windows-Versionen schließt Microsoft eine weitere Sicherheitslücke, nachdem es bereits im November zehn Schwachstellen beseitigt hat. Ein lokal angemeldeter Angreifer kann mit Hilfe dieser Lücke Sicherheitsmaßnahmen umgehen und so weiteren Schaden anrichten.

MS16-154 – Flash Player (kritisch)
Adobe hat am 13. Dezember ein Sicherheits-Update für den Flash Player veröffentlicht. Im Internet Explorer unter Windows 8 und 10 sowie in Edge ist der Flash Player fest integriert. Das Bulletin bezieht sich auf diesen integrierten Flash Player und die 16 darin gestopften Sicherheitslücken. Die Versionsnummer des Flash Player sollte nach Installation des Updates 24.0.0.186 lauten.

MS16-155 – .NET Framework (hoch)
Das .NET Framework 4.6.2 enthält eine Schwachstelle in seinem Datenanbieter für SQL Server. Ein Angreifer, der diese Lücke ausnutzt, kann auf Informationen zugreifen, die durch die Funktion „Always Encrypted“ (immer verschlüsselt) geschützt sein sollten. Windows Vista und Server 2008 sind nicht betroffen.

Außerdem gibt es, wie in jedem Monat, auch im Dezember das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

anfällige Software/Komponente(n)

Neustartnötig?

MS16-144

kritisch

1

RCE

Windows (alle); Internet Explorer

ja

MS16-145

kritisch

1

RCE

Windows 10, Server 2016; Edge

ja

MS16-146

kritisch

1

RCE

Windows (alle); GDI, Grafikkomponente

ja

MS16-147

kritisch

1

RCE

Windows (alle); Uniscribe, USP10.dll

ja

MS16-148

kritisch

1

RCE

Microsoft Office (alle außer Mac); Word, Excel, Publisher, Viewer

u.U.

MS16-149

hoch

1

EoP

Windows (alle); Verschlüsselungstreiber, Installer

ja

MS16-150

hoch

2

EoP

Windows 10, Server 2016; sicherer Kernelmodus

ja

MS16-151

hoch

2

EoP

Windows (alle); Kernelmodustreiber

ja

MS16-152

hoch

3

ID

Windows 10, Server 2016; Kernel

ja

MS16-153

hoch

2

ID

Windows (alle); Treiber des gemeinsamen Protokolldateisystems (CLFS)

ja

MS16-154

kritisch

RCE

Windows 8.1, 10, RT, Server 2012, 2012 R2, 2016; integrierter Flash Player (IE, Edge)

ja

MS16-155

hoch

3

ID

Windows (alle außer Vista, Server 2008); .NET Framework 4.6.2

ja

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
DoS – Denial of Service: Dienstverweigerung / Software-Absturz
SFB – Security Feature Bypass: Umgehen einer Sicherheitsfunktion

Ausnutzbarkeit:
0 – wird bereits ausgenutzt
1 – Ausnutzung wahrscheinlich
2 – Ausnutzung weniger wahrscheinlich
3 – Ausnutzung unwahrscheinlich


0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2240924