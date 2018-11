Microsoft hat wichtige Sicherheitsupdates für Office, Windows & Co. veröffentlicht. Die Patches schließen einige kritische Lücken.

Am Patchday im November kümmert sich Microsoft um mehr als 50 Sicherheitslücken und sichert unter anderem neben verschiedenen Windows-Versionen, DirectX und diverse Office-Produkte ab. Eine Lücke in Windows 7 (CVE-2018-8589) befindet sich derzeit im Visier von Angreifern. Insgesamt sind elf Lücken mit dem Bedrohungsgrad "kritisch" eingestuft.

Das Update für die momentan ausgenutzte Schwachstelle in Windows 7, Server 2008 und Server 2008 R2 hat Microsoft in einer Warnung nur als "wichtig" markiert. Denn für eine erfolgreiche Attacke muss ein Angreifer am System eines Opfers angemeldet sein. Die Anfälligkeit liegt im Umgang von Windows mit Win32k.sys. Hakt ein Angreifer hier erfolgreich ein, soll er sich höhere Rechte aneignen können. Kaspersky gibt in einem Bericht an, dass sie bislang nur wenige Attacken im Mittleren Osten beobachtet haben.

Kritische Sicherheitslücken

Der Großteil der kritischen Lücken findet sich in der Chakra Engine vom Edge Browser. Lockt ein Angreifer Opfer auf eine präparierte Website, kann er mittels einem ausgelösten Speicherfehlers Schadcode ausführen.

Eine weitere kritische Schwachstelle (CVE-2018-8476) macht Verbindungen über das Trivial File Transfer Protocol (TFTP) angreifbar. Das Protokoll nutzen beispielsweise Admins für Installationen aus der Ferne. Für einen erfolgreichen Übergriff muss ein Angreifer Microsoft zufolge lediglich eine spezielle Anfrage an Windows senden. Anschließend steht der Ausführung von beliebigem Code nicht mehr im Weg.

Weitere Remote-Code-Execution-Lücken gefährden unter anderem noch Dynamics 365, VBScript Engine und Word. Das von Adobe als "wichtig" eingestufte Sicherheitsupdate für Flash installiert sich unter Windows 8.1 und 10 für Edge und Internet Explorer 11 automatisch.

In seinem Security Update Guide listet Microsoft weitere Infos zu den Sicherheitslücken und Patches auf. Das ist aber nicht wirklich übersichtlich. Beispielsweise im Blog von Cisco Talos bekommt man einen besseren Überblick. (des)