Patch Day
Microsoft schließt 52 Sicherheitslücken
Microsofts monatlicher Update-Dienstag zieht auch im August wieder eine umfangreiche Aktualisierungsorgie nach sich. Die 14 neuen Security Bulletins behandeln 52 Sicherheitslücken. Vier Bulletins befassen sich mit Schwachstellen, die Microsoft als kritisch eingestuft hat. Sie betreffen Windows, den Internet Explorer (IE), den neuen Web-Browser Edge in Windows 10, Microsoft Office sowie weitere Microsoft-Programme. Auch für Windows 10 sind zum ersten Mal Updates dabei.
MS15-079 (kritisch)
Mit 13 Lücken entfällt ein knappes Viertel aller Schwachstellen auf den Internet Explorer 7 bis 11. Der IE 6 ist nach dem Support-Ende für Server 2003 Geschichte. Zehn der IE-Lücken können es einem Angreifer erlauben Code einzuschleusen und mit Benutzerrechten auszuführen. Zwei Schwachstellen ermöglichen das Umgehen des Speicherschutzmechanismus ASLR (Address Space Layout Randomization). Die letzte Lücke (CVE-2015-2423) betrifft auch weitere Programme und wird beim Bulletin MS15-088 besprochen. Das kumulative Sicherheits-Update schützt auch den IE 11, der in Windows 10 enthalten ist.
MS15-080 (kritisch)
Sogar mehr als ein Viertel der Lücken werden durch das Bulletin MS15-080 abgedeckt. Die Mehrzahl der 16 Schwachstellen resultieren aus Fehlern beim Umgang mit Schriftartdateien (Fonts), sowohl OpenType Fonts als auch TrueType Fonts. Sechs der Lücken stecken im Windows Adobe Type Manager (atmfd.dll). Weitere fünf Schwachstellen werden behoben, indem der Umgang der Systembibliothek DirectWrite mit TrueType Fonts korrigiert wird. Diese Lücken betreffen neben Windows auch Office, Lync, Silverlight und das .NET Framework. Mehrere der Schwachstellen eignen sich um Code einzuschleusen.
MS15-081 (kritisch)
In diesem Bulletin behandelt Microsoft acht Schwachstellen in seinen Office-Paketen, einschließlich Office für Mac. Nur eine der Lücken (CVE-2015-2466) gilt als kritisch. Jedoch wird eine andere (CVE-2015-1642), die es ebenfalls ermöglicht Code einzuschleusen, bereits für Angriffe ausgenutzt. Hierzu muss ein Angreifer ein potenzielles Opfer dazu bringen eine speziell präparierte Datei zu öffnen. Auch die schon erwähnte Schwachstelle CVE-2015-2423 taucht in diesem Bulletin wieder auf - nicht zum letzten Mal.
MS15-082 (hoch)
Eine der beiden Schwachstellen im Remote Desktop Protokoll (RDP) ermöglicht es Code einzuschleusen und auszuführen. Dazu muss ein Angreifer eine präparierte DLL (Programmbibliothek) so im Dateisystem ablegen, dass anfällige Programme diese DLL statt der richtigen laden. Das klappt jedoch nur unter Windows 7 und Server 2008 R2. Andere Windows-Versionen (außer 10) sind nur durch die zweite Lücke betroffen, die eine Man-in-the-Middle-Attacke ermöglicht.
MS15-083 (hoch)
Windows Vista und Server 2008 sind anfällig für Angriffe über die Datei- und Druckerfreigabe (SMB, Server Message Block). Ein als Benutzer angemeldeter Angreifer könnte die volle Kontrolle über das System erlangen, indem er eine spezielle Zeichenfolge an die Fehlerprotokollierung des SMB-Servers sendet.
MS15-084 (hoch)
Hierin geht es um zwei Schwachstellen in den XML Core Services, die alle Windows-Versionen außer Windows 10 betreffen sowie Office 2007 und InfoPath 2007. Dabei geht es um Datenlecks.
MS15-085 (hoch)
Alle Windows-Versionen, auch Windows 10, räumen einem Angreifer höhere Berechtigungen ein, wenn er ein entsprechend präpariertes USB-Gerät anschließt. Er könnte mit Hilfe eines symbolischen Links eine Programmdatei einschleusen und ausführen. Microsoft gibt an, es habe bereits Angriffe gegeben, bei denen diese Schwachstelle ausgenutzt worden sei.
MS15-086 (hoch)
Der Microsoft System Center 2012 Operations Manager enthält eine Lücke, durch denen Ausnutzung ein Angreifer höhere Berechtigungen erlangen kann. Dazu müsste er einen Benutzer dazu bringen, eine präparierte Web-Seite aufzurufen.
MS15-087 (hoch)
Ähnlich sieht das Angriffsszenario für eine Schwachstelle in Windows Server 2008 aus. Anfällig sind hier die UDDI-Dienste (Universal Description, Discovery, and Integration). Auch BizTalk Server 2010, 2013 und 2013 R2 sind betroffen.
MS15-088 (hoch)
Zum dritten und letzten Mal geht es nun um die Schwachstelle CVE-2015-2423. Sie betrifft den IE, Microsoft Office sowie alle unterstützten Windows-Versionen, auch Windows 10 und Windows Server Technical Preview 2. Das Problem ist die Übergabe von Kommandozeilenparametern durch den Internet Explorer an den Editor Notepad oder an Office-Programme. Ein Angreifer müsste zunächst unter Ausnutzung einer anderen Sicherheitslücke Code in der Sandbox des IE ausführen. Aus dem IE heraus müsste er dann den Windows-Editor oder ein Office-Programm (etwa Word) mit speziellen Parametern aufrufen. So könnte der Angreifer an Informationen gelangen, die ihm sonst nicht zugänglich wären. Um davor geschützt zu sein, müssen die Updates zu allen drei Bulletins installiert werden, in denen diese Anfälligkeit erwähnt wird.
MS15-089 (hoch)
Alle Windows-Versionen außer 10 enthalten eine Schwachstelle im WebDAV-Client (Web Distributed Authoring and Versioning). Dieser könnte gebracht werden, das als veraltet und unsicher geltende Verschlüsselungsverfahren SSL 2.0 zu benutzen. Dies ermöglicht einen Man-in-the-Middle-Angriff, bei dem ein Angreifer vertrauliche Information erlangen kann.
MS15-090 (hoch)
Drei Lücken in Windows können einem Angreifer nach Anmeldung als Benutzer dazu dienen sich höhere Berechtigungen zu verschaffen. Anfällig sind der Objekt-Manager, die Registry und das Dateisystem (jedes mit eigener Lücke) aller Windows-Version vor Windows 10. Ursache ist ein fehlerhafter Umgang mit Sandbox-Anwendungen.
MS15-091 (kritisch)
Der neue Web-Browser Edge in Windows 10 setzt anscheinend die alte IE-Tradition fort: er steckt voller Sicherheitslücken. Keine zwei Wochen nach der Markteinführung der neuen Windows-Version muss Microsoft schon vier Schwachstellen in Edge ausmerzen. Drei der Lücken können es einem Angreifer ermöglichen eingeschleusten Code mit Benutzerrechten auszuführen. Die vierte Schwachstelle kann genutzt werden, um den Schutzmechanismus ASLR zu umgehen.
MS15-092 (hoch)
Zum Schluss noch drei Lücken in allen Windows-Versionen. Die Ausnutzung jeder der drei Schwachstellen im .NET-Framework kann einem Angreifer höhere Berechtigungen verschaffen. Schlimmstenfalls kann er so die volle Kontrolle über das System erlangen. Das Problem sind fehlerhafte Optimierungen im RyuJIT-Compiler.
Alle Sicherheits-Updates für Windows 10 stecken zusammen mit weiteren, nicht sicherheitsrelevanten Updates in einem kumulativen Update-Paket. Mehr dazu in einem separaten Beitrag. Auch Microsofts kleine Wurmkur, das Windows-Tool zum Entfernen bösartiger Software, wird in einer aktualisierten Version verteilt. (PC Welt/mje)
Bulletin | Risikostufe | Ausnutz-barkeit | Effekt | anfällige Software/Komponente(n) | Neustartnötig? |
kritisch | 1 | RCE | Windows (alle); Internet Explorer 7 bis 11 | u.U. | |
kritisch | 1 | RCE | Windows (alle), Office 2007/2010, Lync, .NET, Silverlight;Grafikkomponente, Fonts | u.U. | |
kritisch | 0 | RCE | MS Office 2007, 2010, 2013, 2013 RT; Office für Mac 2001, 2016 | u.U. | |
hoch | 1 | RCE | Windows (alle außer 10); Remote Desktop Protocol (RDP) | ja | |
hoch | 2 | RCE | Windows Vista, Server 2008; SMB | ja | |
hoch | 3 | ID | Windows (alle außer 10), Office 2007, InfoPath 2007;XML Core Services | u.U. | |
hoch | 0 | EoP | Windows (alle); Mount Manager, USB-Geräte | ja | |
hoch | 2 | EoP | System Center Operations Manager 2012, 2012 R2 | nein | |
hoch | 2 | EoP | Windows Server 2008, BizTalk Server 2010, 2013, 2013 R2; UDDI-Dienste | nein | |
hoch | 1 | ID | Windows (alle), Office (Win+Mac); Kommandozeilenparameter | u.U. | |
hoch | 3 | ID | Windows (alle außer 10); WebDAV | u.U. | |
hoch | 1 | EoP | Windows (alle außer 10); Sandbox, Objektmanager, Registry, Dateisystem | ja | |
kritisch | 1 | RCE | Windows 10; Edge | ja | |
hoch | 3 | EoP | Windows (alle); .NET Framework | u.U. |
u.U. - unter Umständen
RCE - Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP - Elevation of Privilege: Ausweitung von Berechtigungen
ID - Information Disclosure: Datenleck