2467889

Patch-Day: Microsoft schließt kritische IE-Lücke

13.11.2019 | 09:14 Uhr | Frank Ziemann

Beim Update-Dienstag im November hat Microsoft insgesamt 74 Schwachstellen beseitigt. Darunter ist eine 0-Day-Lücke im Internet Explorer.

Die im November bereitgestellten Updates beheben insgesamt 74 Sicherheitslücken. Darunter sind 13 Lücken, die Microsoft als kritisch einstuft. Diese betreffen Windows, Hyper-V, die Browser Edge und Internet Explorer sowie Exchange Server. Die die übrigen Lücken stuft Microsoft als hohes Risiko ein. Details zu allen Schwachstellen bietet Microsoft zum Selbstsuchen im unübersichtlichen Security Update Guide . Weniger kleinteilig und dafür übersichtlicher bereiten etwa die Blogger bei Trend Micro ZDI und Bleeping Computer das Thema Patch Day auf.

Internet Explorer (IE)
Das neue kumulative Sicherheits-Update (4519974) für den Internet Explorer 9 bis 11 beseitigt lediglich zwei Schwachstellen in dem Browser-Saurier. Beide Lücken sind als kritisch eingestuft. Eine der Schwachstellen (CVE-2019-1429) ist eine so genannte 0-Day-Lücke – sie wird bereits für Angriffe im Web genutzt. Auch wenn Sie den IE längst nicht mehr im Web benutzen, geht von die Lücke eine Gefahr aus. Sie lässt sich nämlich auch über präparierte Office-Dokumente ausnutzen.

Edge
Im Browser Edge hat Microsoft im November vier Lücken gestopft, von denen der Hersteller drei als kritisch einstuft. Die Scripting Engine ist auch diesmal in vielen Fällen die Fehlerquelle, namentlich bei allen kritischen Lücken. Sie behandelt Speicherobjekte nicht korrekt und ermöglichen es so einem Angreifer Code einzuschleusen und mit Benutzerrechten auszuführen.

Office
Für seine Office-Familie liefert Microsoft im November Updates gegen neun Sicherheitslücken aus. Microsoft stuft keine dieser Lücken als kritisch ein. Doch eine Excel-Schwachstelle (CVE-2019-1448) ermöglicht es einem Angreifer, mit präparierten Dokumenten Code einzuschleusen. Microsoft stuft sie nur als wichtig ein. Sie betrifft neben Excel 2010 und neuer auch Office 365 ProPlus sowie Office 2016 und 2019 für Mac.

Windows
Der überwiegende Teil der Schwachstellen, 56 Lücken, verteilt sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. Denken Sie daran, dass es am 14. Januar die letzten Sicherheits-Updates für Windows 7 sowie Server 2008 und 2008 R2 geben wird. Für Windows 10, Version 1803, sowie Windows Server, Version 1803, ist damit bereits ab sofort Schluss .

Microsoft stuft sieben Windows-Lücken als kritisch ein. Eine dieser Lücken (CVE-2019-1430) betrifft dem Umgang der Windows Media Foundation in Windows 10 1903 mit präparierten Quicktime-Dateien. Die allen Windows-Versionen enthaltene Adobe Type Manager-Bibliothek patzt beim Umgang mit speziell gestalteten OpenType-Schriften, die etwa in Dokumenten oder Web-Seiten eingebettet sein können. Auch die Win32k-Grafikkomponente in Windows 7 sowie in Server 2008 und Server 2008 R2 ist anfällig für Attacken mit präparierten Fonts.

Microsofts Virtualisierungslösung Hyper-V weist allein acht Schwachstellen auf, von denen der Hersteller vier als kritisch einstuft. Das bedeutet, Programme im Gastsystem könnten die Lücken ausnutzen, um beliebigen Code auf dem Hostsystem auszuführen.

Exchange Server
In Exchange Server 2013, 2016 und 2019 steckt eine als kritisch eingestufte Sicherheitslücke (CVE-2019-1373). Ein Angreifer, der Commandlets (Cmdlets) über die PowerShell ausführt, kann beliebigen Code mit Benutzerrechten ausführen.

Flash Player
Adobe hat am 12. November keinen neuen Flash Player bereitgestellt.

Schließlich gibt es, wie in fast jedem Monat, auch im November das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 10. Dezember 2019.


PC-WELT Marktplatz

2467889