zurück zum Artikel

Patchday: Microsoft kümmert sich um mehr als 60 Lücken in Windows & Co.

Patchday: Microsoft kümmert sich um mehr als 60 Lücken in Windows & Co.

Über Windows Update stehen Sicherheitsptaches bereit. Unter anderem schließen diese eine Lücke, über die Angreifer ein Wireless Keyboard in einen Keylogger verwandeln könnten.

Am Patchday im April veröffentlicht Micosoft Updates für mehr als 60 Schwachstellen in Azure, Edge, Hyper-V, Internet Explorer, Office, Scripting Engine und Windows. Davon sind 25 Lücken mit dem Bedrohungsgrad "kritisch" eingestuft. Der Großteil der restlichen Schwachstellen ist mit "wichtig" gekennzeichnet.

Am kritischsten gelten diverse Lücken in der Chakra Scripting Engine, die unter anderem mit dem Webbrowser Edge zusammenarbeitet. Für einen erfolgreichen Übergriff soll der alleinige Besuch einer präparierten Webseite ausreichen, warnt Microsoft[1]. Anschließend sollen Angreifer über die gleichen Nutzerrechte wie das Opfer verfügen und Schadcode ausführen können. Hat das Opfer Admin-Rechte, gilt ein Computer bei diesem Angriff als kompromittiert. Auch der Internet Explorer ist für ähnliche Angriff[2] anfällig.

Die Schriften-Bibliothek von Windows ist für einen Remote-Code-Execution-Angriff[3] empfänglich. Angreifer sollen die Lücke über mehrere Wege ausnutzen können. So soll es ausreichen, wenn ein Opfer ein speziell vorbereitetes Dokument öffnet. Ist eine Attacke erfolgreich, könnte ein Angreifer die volle Kontrolle über einen Computer übernehmen.

Im Zuge des Patchdays weist Microsoft abermals auf eine kritische Lücke in der Malware Protection Engine[4] hin, die unter anderem bei Windows Defender zum Einsatz kommt. Der Sicherheitspatch wurde bereits vergangene Woche automatisch verteilt. Die kritischen Flash-Updates[5] erhalten Edge und Internet Explorer 11 unter Windows 8.1 und 10 automatisch.

Microsoft verteilt zudem ein Hardware-Sicherheitsupdate für das Wireless Keyboard 850. Mit viel Aufwand sollen Angreifer einen AES-Schlüssel extrahieren und wiederverwenden können. Das führt dazu, dass sie Tastatureingaben mitschneiden und sogar manipulieren können.

In Microsoft Share Point Server klafft eine Lücke, über die Angreifer auf eigentlich abgeschottete Informationen zugreifen könnten. Weitere als "wichtig" eingestufte Lücken finden sich in Excel[6] und dem Windows-Kernel[7].

Microsoft stellt Informationen über die gepatchten Sicherheitslücken im Security Update Guide[8] bereit. Allerdings ist die Auflistung alles andere als übersichtlich. Eine viel besser aufbereitete Liste findet sich zum Beispiel im Patchday-Blog-Artikel[9] von Cisco Talos. (des[10])


URL dieses Artikels:
http://www.heise.de/-4016580

Links in diesem Artikel:
[1] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0994
[2] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-1018
[3] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-1010
[4] https://www.heise.de/meldung/Windows-Defender-verschluckt-sich-an-RAR-4012228.html
[5] https://www.heise.de/meldung/Patchday-Kritische-Flash-Updates-und-mehr-4017474.html
[6] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0920
[7] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0968
[8] https://portal.msrc.microsoft.com/en-us/security-guidance
[9] http://blog.talosintelligence.com/2018/04/ms-tuesday.html
[10] mailto:des@heise.de