zurück zum Artikel

Patchday: Microsoft schließt 18 kritische Lücken in Windows & Co.

Patchday: Microsoft schließt 18 kritische Lücken in Windows & Co.

Insgesamt gibt es diesen Monat 53 Sicherheitsupdates für Software von Microsoft. Die meisten kritischen Lücken klaffen in Edge und Internet Explorer.

Am Patchday im Juli hat Microsoft 53 Patches unter anderem für .NET Framework, ASP.NET, Edge, Internet Explorer, Office, Skype und Windows veröffentlicht. 18 Updates stuft Microsoft als "kritisch" ein – 33 Patches sind mit "wichtig" ausgezeichnet. Derzeit soll keine der Sicherheitslücken im Visier von Angreifern sein, versichert Microsoft.

Der Großteil der kritischen Schwachstellen gefährden Edge [1] und Internet Explorer. Damit ein Angriff klappt, muss ein Opfer mitspielen und eine von einem Angreifer präparierte Webseite besuchen. Anschließend verschluckt sich die Chakra Scripting Engine und es kommt zu einem Speicherfehler. Das endet letztlich in der Ausführung von Schadcode mit den Rechten des Nutzers.

Eine weitere kritische Sicherheitslücke gefährdet die PowerShell [2]. Dabei könnte ein Angreifer auf nicht näher beschriebenem Weg Schadcode in einen Service-Prozess des PowerShell-Editors schieben.

Generell gilt: Man sollte nicht, ohne nachzudenken, Dokumente öffnen, die man per E-Mail erhält. Im Anhang könnte beispielsweise ein von Angreifern erstelltes Word-Dokument sein, das nach dem Öffnen Schadcode auf den Computer holt und ausführt. Das kann derzeit über eine Lücke in Microsoft Office [3] passieren.

Über eine Schwachstelle in der Windows-Bibliothek DNSAPI.dll [4] könnten Angreifer mittels einer manipulierten DNS-Anfrage Systeme ausknipsen. Nutzen Hacker eine Schwachstelle in Microsoft Wireless Display Adapter [5] aus, sollen sie in der Lage sein, Fehlfunktionen bei der Bildschirmübertragung auslösen zu können. Dafür müssen sie aber eingeloggt sein. Ein Firmware-Update schafft Abhilfe.

Das aktuelle Flash-Update [6] für Edge und Internet Explorer 11 installiert sich unter Windows 8.1 und 10 automatisch.

Infos zu den weiteren Lücken findet man im offiziellen Security Update Guide [7]. Dort ist es aber äußerst unübersichtlich. Eine bessere Auflistung findet man beispielsweise in einem Blog-Post [8] von Trend Micros Zero Day Initiative. (des [9])


URL dieses Artikels:
http://www.heise.de/-4107553

Links in diesem Artikel:
[1] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8262
[2] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8327
[3] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8281
[4] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8304
[5] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8306
[6] https://www.heise.de/meldung/Jetzt-updaten-Adobe-verarztet-ueber-100-Schwachstellen-in-Acrobat-Produkten-4107379.html
[7] https://portal.msrc.microsoft.com/en-us/security-guidance
[8] https://www.zerodayinitiative.com/blog/2018/7/10/the-july-2018-security-update-review
[9] mailto:des@heise.de