2232943

Microsoft stopft zwei Zero-Day-Lücken in Windows

09.11.2016 | 08:33 Uhr |

Beim Update-Dienstag im November hat Microsoft 14 neue Security Bulletins veröffentlicht, die insgesamt 67 Sicherheitslücken behandeln. Sie betreffen Windows, Internet Explorer, Edge, Office und SQL Server.

Microsoft hat mit seinem monatlichen Sicherheits-Updates beim Patch Day im November auch zwei so genannte Zero-Day-Lücken in Windows beseitigt. Eine der Lücken hat Google bereits Anfang des Monats öffentlich bekannt gemacht. Im Oktober hatte Microsoft sogar vier Zero-Day-Lücken zu stopfen. Neben als kritisch eingestuften Schwachstellen in Windows, Internet Explorer und Edge schließt Microsoft in diesem Monat auch sechs Lücken im SQL Server. Für Windows Server 2016, dessen finale Version seit Mitte Oktober erhältlich ist, stellt Microsoft erstmals Sicherheits-Updates bereit. Auch für die Preview 5 der neuen Server-Version gibt es noch Updates.

MS16-129 – Edge (kritisch)
Auch im November sind im neuen Browser Edge wieder mehr Lücken zu stopfen als im alten Internet Explorer. Sieben der 17 Schwachstellen in diesem Bulletin teilt sich Edge mit seinem Vorgänger. Die meisten der Edge-Lücken eignen sich, um Code einzuschleusen und auszuführen. Hinzu kommen ein paar Datenlecks und eine Spoofing-Lücke.

MS16-130 – Windows (hoch)
In diesem Bulletin fasst Microsoft drei Sicherheitslücken aller Windows-Versionen zusammen, die sich auf unterschiedliche Komponenten verteilen. Der Windows-Eingabemethoden-Editor (IME) für japanische Schrift lädt DLLs nicht ordnungsgemäß, sofern er installiert ist. Ein Angreifer könnte diese ausnutzen, um sich höhere Rechte zu verschaffen. Die Aufgabenplanung behandelt UNC-Pfade auf unsichere Weise, sodass ein lokaler Angreifer beliebigen Code mit höheren Berechtigungen ausführen kann. Die Windows-Funktion zum Laden von Bilddateien verarbeitet falsch formatierte Bilddateien fehlerhaft, wodurch ein Angreifer beliebigen Code ausführen kann. Er muss dazu eine speziell präparierte Bilddatei in einer Web-Seite oder einer E-Mail platzieren.

MS16-131 – Videosteuerung (kritisch)
Die Windows-Komponente Microsoft Video Control weist eine weitere als kritisch eingestufte Schwachstelle auf. Bereits im Oktober hatte Microsoft darin eine Lücke gestopft. Die Microsoft-Videosteuerung ist in allen Windows-Clients vorhanden, nicht jedoch in den Server-Editionen – mit Ausnahme des neuen Windows Server 2016. Ein Angreifer, der diese Lücke ausnutzt, könnte Code einschleusen und mit Benutzerrechten ausführen.

MS16-132 – Grafikkomponente (kritisch)
Dieses Bulletin umfasst vier Sicherheitslücken in der Grafikausgabe. Betroffen sind der Schriftarttreiber ATMFD (Adobe Type Manager Font Driver), der Windows Animation Manager, die Windows Media Foundation sowie die Windows-Schriftartenbibliothek. Die Lücke in Letzterer ermöglicht es einem Angreifer mit speziell präparierten Schriftartdateien die Kontrolle über das System zu übernehmen. Das könnte er bewerkstelligen, in dem er eine solche Schriftartdatei in eine Web-Seite einbindet. Auf diese Idee ist offenbar schon jemand gekommen, denn entsprechende Angriffe sind laut Microsoft bereits bekannt.

MS16-133 – Microsoft Office (hoch)
Alle unterstützten Versionen von Microsoft Office, einschließlich der für Mac, weisen mehrere der zwölf Schwachstellen auf, die Microsoft im Office-Bulletin dieses Monats behandelt. Excel-Lücken bilden dabei den Schwerpunkt. Zehn Schwachstellen können es einem Angreifer ermöglichen, mit speziell präparierten Office-Dokumenten Code einzuschleusen und auszuführen. Hinzu kommen ein Datenleck und eine DoS-Schwachstelle.

MS16-134 – Protokolldateisystemtreiber (hoch)
Im Treiber des gemeinsamen Protokolldateisystems (Common Log File System, CLFS) aller Windows-Versionen schließt Microsoft zehn Sicherheitslücken. Ein lokal angemeldeter Angreifer kann sich mit Hilfe jeder dieser Lücken höhere Rechte verschaffen.

MS16-135 – Kernelmodustreiber (hoch)
Im Kernelmodustreiber Win32k.sys aller Windows-Versionen schließt Microsoft drei Sicherheitslücken, die ein Angreifer nutzen könnte, um sich höhere Berechtigungen zu verschaffen. Hinzu kommt eine vierte Lücke, deren Ausnutzung Informationen offenlegen kann. Die fünfte Schwachstelle in diesem Bulletin betrifft den Treiber Browser.sys und stellt ebenfalls ein Datenleck dar. Unter den ersten drei Lücken ist die Schwachstelle mit der Kennung CVE-2016-7255, deren Existenz und praktische Ausnutzung Google bereits in der letzten Woche offenbart hatte. Die Angriffe der russischen APT-Gruppe Strontium gelten allerdings nicht Privatanwendern, sondern industriellen und militärischen Einrichtungen. Sie nutzen dabei zunächst eine Flash-Lücke aus, die Adobe Ende Oktober mit einem außerplanmäßigen Sicherheits-Update geschlossen hat. Dann verschaffen sie ihrem eingeschleusten Code unter Ausnutzung der hier behandelten Windows-Lücke höhere Rechte, um ihn im Kernel-Modus auszuführen. Windows 10 mit installiertem Anniversary Update (Version 1607) soll laut Microsoft nicht anfällig sein.

MS16-136 – SQL Server (hoch)
In diesem Security Bulletin geht es um sechs Schwachstellen im Microsoft SQL Server. Sie verteilen sich ungleichmäßig auf die Software-Versionen SQL Server 2012, 2014 und 2016. Angreifer können sich höhere Berechtigungen verschaffen oder Zugriff auf Datenbanken erlangen, für die sie an sich keine Zugriffsrechte besitzen.

MS16-137 – Authentifizierungsmethoden (hoch)
Zwei der drei Schwachstellen, dieses Bulletin behandelt, betreffen alle Windows-Versionen. Die dritte Lücke betrifft nur Installationen von Windows 10 vor dem Update auf Version 1511, also die ursprüngliche Windows-10-Ausgabe aus dem Sommer 2015. Die Fehler stecken in verschiedenen Authentifizierungsmethoden wie NTLM oder LSASS sowie im Fall der dritten Lücke den virtuellen sicheren Modus (Windows 10). Die Ausnutzung der NTLM-Lücke kann es einem unprivilegierten Benutzer ermöglichen sich Admin-Rechte zu verschaffen.

MS16-138 – VHD-Treiber (hoch)
Im virtuelle Festplattentreiber von Windows (ab Windows 8.1 und Server 2012) beseitigt Microsoft vier Sicherheitslücken. Ein Angreifer mit Zugriff auf das lokale System kann sich damit höhere Rechte verschaffen. Dies würde es ihm ermöglichen, Dateien manipulieren zu können, auf die Benutzer normalerweise keinen Zugriff haben.

MS16-139 – Kernel API (hoch)
Im Gegensatz zum Bulletin MS16-138 betrifft die Schwachstelle im Kernel API nur ältere Windows-Version: Vista, 7, Server 2008 und Server 2008 R2. Ein lokal angemeldeter Benutzer kann sich mit Hilfe eines speziell erstellten Programms, das diese Lücke ausnutzt, höhere Rechte verschaffen und Zugriff auf Informationen erlangen, die auf diesem Wege nicht für ihn verfügbar sein sollten.

MS16-140 – Start-Manager (hoch)
Eine Lücke im Boot-Manager betrifft wiederum nur neuere Windows-Versionen (ab 8.1, Server 2012). Durch die Installation bestimmter Startrichtlinien kann ein Angreifer mit physischem Zugriff auf den Rechner diese Schwachstelle nutzen, um Code-Integritätsprüfungen zu deaktivieren. Dadurch können Programm- und Treiberdateien geladen werden, die nur zu Testzwecken signiert wurden.

MS16-141 – Flash Player (kritisch)
Adobe hat am 8. November ein Sicherheits-Update für den Flash Player veröffentlicht. Im Internet Explorer unter Windows 8 und 10 sowie in Edge ist der Flash Player fest integriert. Das Bulletin bezieht sich auf diesen integrierten Flash Player und die neun darin gestopften Sicherheitslücken. Die Versionsnummer des Flash Player sollte nach Installation des Updates 23.0.0.207 lauten.

MS16-142 – Internet Explorer (kritisch)
Im Internet Explorer schließt Microsoft 7 Schwachstellen, von denen bislang noch keine für Angriffe ausgenutzt wird. Vier dieser Lücken sind geeignet, um eingeschleusten Code auszuführen. Die drei übrigen Schwachstellen können einem Angreifer den Zugriff auf vertrauliche Informationen ermöglichen. Alle sieben Lücken betreffen auch Edge.

Außerdem gibt es, wie in jedem Monat, auch im November das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

anfällige Software/Komponente(n)

Neustartnötig?

MS16-129

kritisch

1

RCE

Windows 10; Edge

ja

MS16-130

hoch

1

RCE

Windows (alle); IME, Aufgabenplanung, Bilddateien

ja

MS16-131

kritisch

2

RCE

Windows (alle Desktop, Server 2016); Videosteuerung

ja

MS16-132

kritisch

0

RCE

Windows (alle); atmfd.dll, Animation Manager, Media Foundation, Schriftartenbibliothek

ja

MS16-133

hoch

1

RCE

Microsoft Office (alle, auch Mac); Excel, Word, Viewer

u.U.

MS16-134

hoch

2

EoP

Windows (alle); Protokolldateisystemtreiber (CLFS)

ja

MS16-135

hoch

0

EoP

Windows (alle); Kernelmodustreiber (win32k.sys, Browser.sys)

ja

MS16-136

hoch

2

EoP

SQL Server 2012, 2014, 2016; RDBMS, MDS API, Analysis Services, Server Agent

u.U.

MS16-137

hoch

2

EoP

Windows (alle); Authentifizierungsmethoden

ja

MS16-138

hoch

2

EoP

Windows 8.1, 10, Server 2012 - 2016; VHDMP-Kerneltreiber

ja

MS16-139

hoch

2

EoP

Windows Vista, 7, Server 2008, 2008 R2; Kernel-API

ja

MS16-140

hoch

1

SFB

Windows 8.1, 10, RT, Server 2012, 2012 R2, 2016; Start-Manager

u.U.

MS16-141

kritisch

RCE

Windows 8, 10, RT, Server 2012, 2012 R2, 2016; integrierter Flash Player

ja

MS16-142

kritisch

1

RCE

Windows (alle); Internet Explorer

ja

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
DoS – Denial of Service: Dienstverweigerung / Software-Absturz
SFB – Security Feature Bypass: Umgehen einer Sicherheitsfunktion

Ausnutzbarkeit:
0 – wird bereits ausgenutzt
1 – Ausnutzung wahrscheinlich
2 – Ausnutzung weniger wahrscheinlich
3 – Ausnutzung unwahrscheinlich


0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2232943