zurück zum Artikel

Microsoft-Patchday: Fünf kritische Sicherheitsfixes, vier wichtige und ein mittelschwerer

Microsoft Patchday: Fünfmal kritisch, viermal wichtig und einmal mittelschwer

Ab diesem Monat verteilt Microsoft Updates (fast) nur noch als kumulative Rollup-Pakete. Mit verschiedenen Patches flickt der Konzern Lücken in Windows & Co. Aktuell sollen fünf Lücken aktiv unter Beschuss stehen.

Microsoft hat Sicherheits-Patches für Windows (Client und Server), Edge, Internet Explorer, Office und Skype Business veröffentlicht [1]. Die Updates schließen insgesamt zehn Lücken. Von diesen stuft Microsoft fünf als kritisch, vier als wichtig und eine als mittelschwer ein.

Neu an diesem Patchday ist die Art der Update-Verteilung: Ab sofort gibt es gibt nur noch kumulative Rollup-Pakete [2]. Damit will Microsoft vor allem die Patchlevel-Fragmentierung bei Windows 7 und 8.1 eindämmen. Die Art der Verteilung zieht aber auch nach sich, dass man nun einzelne Updates nicht mehr getrennt voneinander installieren oder eben zurückhalten kann. Ähnlich ist man das bereits von Windows 10 gewohnt. Patches für einzelne Lücken oder Probleme gibt es demzufolge nicht mehr. Doch Ausnahmen bestätigen die Regel: Updates für etwa .NET-Komponenten, den Flash Player und Skype serviert der Konzern auch weiterhin einzeln.

Vier kritische Lücken klaffen in Edge, dem Internet Explorer, Skype Business und Windows. Für einen erfolgreichen Angriff soll der alleinige Besuch einer präparierten Webseite ausreichen. Anschließend könne ein Angreifer aus der Ferne Schad-Code ausführen, warnt Microsoft. Die fünfte kritische Lücke klafft im Flash Player.

Die mit dem Bedrohungsgrad wichtig eingestuften Schwachstellen finden sich in Office und Windows. Ein Angreifer soll diese aber nur ausnutzen können, wenn er sein Opfer etwa dazu bringt, eine präparierte Anwendung zu öffnen. Klappt das, kann ein Angreifer Informationen abziehen und sich höhere Rechte erschleichen. Die mittelschwere Lücke klafft in Microsofts Internet Messaging API. Nutzt ein Angreifer diese aus, kann er lediglich prüfen, ob Dateien auf einer Festplatte liegen.

Unter anderem warnen Sicherheitsforscher von Trend Micro [3] davor, dass Angreifer aktuell fünf Lücken aktiv attackieren. Man sollte den Windows-Update-Vorgang also zügig abschließen.

In einem neuen Sicherheitshinweis [14] erläutert Microsoft die Konfiguration eines TLS-Servers mit längeren Diffie-Hellmann-Ephemeral-Schlüsselfreigaben. Zudem weist der Konzern auf Sicherheitsanfälligkeiten in ASP.NET-Komponenten [15] hin. Im schlimmsten Fall könnten sich Angreifer an dieser Stelle höhere Rechte verschaffen. (des [16])


URL dieses Artikels:
http://www.heise.de/-3347110

Links in diesem Artikel:
[1] https://technet.microsoft.com/library/security/ms16-oct
[2] https://www.heise.de/meldung/Windows-7-und-8-1-Updates-kuenftig-als-kumulative-Rollup-Pakete-3295523.html
[3] http://blog.trendmicro.com/october-2016-brave-new-world-security-updates/
[4] http://go.microsoft.com/fwlink/?LinkId=827591
[5] http://go.microsoft.com/fwlink/?LinkId=827592
[6] http://go.microsoft.com/fwlink/?LinkId=827590
[7] http://go.microsoft.com/fwlink/?LinkId=828158
[8] http://go.microsoft.com/fwlink/?LinkId=829051
[9] http://go.microsoft.com/fwlink/?LinkId=827595
[10] http://go.microsoft.com/fwlink/?LinkId=827821
[11] http://go.microsoft.com/fwlink/?LinkId=827822
[12] http://go.microsoft.com/fwlink/?LinkId=829052
[13] http://go.microsoft.com/fwlink/?LinkId=829053
[14] https://technet.microsoft.com/de-de/library/security/3174644.aspx
[15] https://technet.microsoft.com/de-de/library/security/3181759.aspx
[16] mailto:des@heise.de