Patch Day
Microsoft beseitigt 52 Schwachstellen
Microsoft hat bei seinem monatlichen Patch Day 12 Security Bulletins veröffentlicht, von denen fünf als kritisch eingestufte Schwachstellen behandeln. Insgesamt schließen Microsofts Updates 52 Sicherheitslücken – genauso viele wie beim Update-Dienstag am 11. August. Etliche Lücken in Windows, Office, im Internet Explorer (IE) sowie in Edge stuft Microsoft als kritisch ein. Eine Windows-Lücke sowie eine Schwachstelle in Microsoft Office werden laut Microsoft bereits für Angriffe genutzt.
MS15-094: Internet Explorer
Eine neues kumulatives Sicherheits-Update für den Internet Explorer 7 bis 11 beseitigt 17 Sicherheitslücken, von denen die Mehrzahl als kritisch für Client-Systeme gilt. Für Windows Server ist die Risikoeinstufung in der Regel deutlich niedriger. Ein Angreifer, der eine der Schwachstellen ausnutzt, kann beliebigen Code einschleusen und mit Benutzerrechten ausführen. Die Lücke mit der Kennung CVE-2015-2542 war laut Microsoft bereits zuvor öffentlich bekannt. Sie betrifft den IE 10 und 11 sowie den neuen Browser Edge für Windows 10.
MS15-095: Edge
Mit Windows 10 hat Microsoft den neuen Browser Edge eingeführt. Darin hat der Hersteller bereits im August mehrere Lücken stopfen müssen und auch im September sind wieder vier kritische Lücken zu schließen. Alle vier Schwachstellen sind auch im IE zu finden, darunter die dort schon erwähnte Lücke CVE-2015-2542.
MS15-096: Windows Server
Der Active Directory-Dienst aller noch unterstützten Windows Server-Editionen ist anfällig für DoS-Angriffe (Denial of Service). Windows Server Technical Preview ist nicht betroffen. Ein Angreifer muss jedoch als Benutzer angemeldet sein, der das Recht hat, Computer zu einer Domäne hinzuzufügen. Erstellt er viele Rechnerkonten, reagiert der AD-Dienst irgendwann nicht mehr.
MS15-097: Windows
Dieses Bulletin behandelt 11 Sicherheitslücken in allen Windows-Versionen. Ebenfalls betroffen sind Lync 2010 und 2013, Live Meeting 2007, sowie Microsoft Office 2007 und 2010. Für diese Software sowie für Windows Vista und Server 2008 gilt die Risikoeinstufung "kritisch", für die übrigen Windows-Version die zweithöchste Stufe (hoch/wichtig). Die betroffenen Komponenten reichen vom Adobe Schriftartentreiber (atmfd.dll) über den Kernelmodustreiber (win32k.sys) bis zu einer Grafikkomponente. Eine der Lücken (CVE-2015-2546) wird bereits für Angriffe ausgenutzt. Die Angreifer können beliebigen Code im Kernelmodus ausführen, wenn sie sich als Benutzer anmelden und ein spezielles erstelltes Programm ausführen, das diese Lücke ausnutzt. Mehrere Schwachstellen betreffen einmal mehr den fehlerhaften Umgang mit Schriften (Fonts), der schon mehrfach in diesem Jahr Gegenstand von Security Bulletins war.
MS15-098: Windows Journal
Das Journal aller Windows-Versionen weist fünf Schwachstellen auf, die Microsoft nun beseitigt. Vier der fünf Lücken sind als kritisch eingestuft. Allerdings hält Microsoft eine Ausnutzung dieser Lücken für unwahrscheinlich. Ein Benutzer müsste dazu eine speziell präparierte Journaldatei öffnen. Dann könnte Code mit den Rechten des angemeldeten Benutzers ausgeführt werden.
MS15-099: Microsoft Office
Das Office-Bulletin für September behandelt fünf Sicherheitslücken in Microsoft Office. In Office 2007, 2010, 2013 und 2013 RT gibt es eine als kritisch eingestufte Schwachstelle im Umgang mit EPS-Dateien (Encapsulated Postscript), die bereits für Angriffe genutzt wird. Angreifer verleiten dabei ihre Opfer zum Öffnen einer präparierten EPS-Datei, die ein absichtlich fehlerhaftes Bild enthält. Drei andere Lücken betreffen auch Excel 2011 und 2016 für Mac sowie den kostenlosen Excel Viewer für Windows. Eine XSS-Lücke (Site-übergreifende Scripterstellung) steckt in Sharepoint Foundation 2013.
MS15-100: Media Center
Im Windows Media Center aller Windows-Versionen von Vista bis 8.1 schließt Microsoft eine Lücke, über die ein Angreifer beliebigen Code einschleusen und mit den Rechten des angemeldeten Benutzers ausführen kann. Dazu muss er einen Benutzer dazu bringen eine präparierte MCL-Datei (Media Center Link) zu öffnen.
MS15-101: .NET Framework, MVC
Eine Schwachstelle im .NET Framework kann ausgenutzt werden, um höhere Berechtigungen zu erlangen. Schlimmstenfalls könnte ein Angreifer die volle Kontrolle über das System erlangen. Eine Lücke in ASP.NET MVC (Model View Controller) kann für DoS-Angriffe genutzt werden.
MS15-102: Aufgabenverwaltung und -planung
Insgesamt drei Schwachstellen verteilen sich auf die Aufgabenverwaltung und -planung aller Windows-Versionen. Durch die Nutzung einer dieser Lücken kann sich ein angemeldeter Benutzer höhere Rechte verschaffen. Keine Windows-Version ist von allen drei Lücken betroffen.
MS15-103: Exchange Server
Microsoft behebt drei Sicherheitslücken in Exchange Server 2013 und dessen Komponente Outlook Web Access (OWA). Eine der Lücken kann zum Offenlegen von Informationen (StackTrace-Daten) führen, die beiden anderen können für Spoofing genutzt werden.
MS15-104: Skype for Business Server und Lync Server
Im Lync Server 2013 beseitigt Microsoft drei XSS-Schwachstellen, von denen zwei auch Skype for Business Server 2015 betreffen. Zwei Lücken können zur Offenlegung von Informationen genutzt werden, die dritte Lücke zur Erhöhung von Berechtigungen.
MS15-105: Hyper-V
Microsofts Virtualisierungslösung Hyper-V ist in Windows 8.1, 10 und Server 2012 R2 enthalten. Eine Sicherheitsanfälligkeit kann ausgenutzt werden, um Sicherheitsfunktionen zu umgehen. Das bedeutet in diesem Fall, dass die fehlerhafte Umsetzung von Konfigurationseinstellungen dazu führen kann, dass Hyper-V unbeabsichtigten Netzwerkverkehr zulässt. Das Update 3091287 korrigiert diesen Fehler.
Mehrere Bulletins (unter anderem MS15-102, MS15-105) betreffen auch den zukünftigen Windows Server, den es bislang nur als Windows Server Technical Preview gibt. Entsprechende Updates sind verfügbar. Die Sicherheitslücken in Windows 10 werden durch ein Sammel-Update behoben. Neben den Sicherheits-Updates zu den oben genannten Security Bulletins verteilt Microsoft auch das Windows-Tool zum Entfernen bösartiger Software in der neuen Version 5.28. (PC Welt/mje)
Bulletin | Risikostufe | Ausnutz-barkeit | Effekt | anfällige Software/Komponente(n) | Neustartnötig? |
kritisch | 1 | RCE | Windows (alle); Internet Explorer 7 bis 11 | ja | |
kritisch | 1 | RCE | Windows 10; Edge | ja | |
hoch | 3 | DoS | Windows Server (alle); Active Directory-Dienst | ja | |
kritisch | 0 | RCE | Windows (alle), Office 2007/2010,Lync 2010/2013, Live Meeting 2007; Graphics-Komponente, win32k.sys, Fonts | u.U. | |
kritisch | 3 | RCE | Windows (alle); Journal | u.U. | |
kritisch | 0 | RCE | MS Office 2007, 2010, 2013, RT, Mac: Excel 2011, 2016; EPS-Dateien | u.U. | |
hoch | 2 | RCE | Windows Vista, 7, 8.x; Windows Media Center: MCL-Dateien | u.U. | |
hoch | 2 | EoP/DoS | Windows (alle); .NET Framework | nein | |
hoch | 1 | EoP | Windows (alle); Task Management, Aufgabenplanung | ja | |
hoch | 3 | ID | Exchange Server 2013; Outlook Web Access | u.U. | |
hoch | 3 | EoP | Skype for Business Server 2015 Und Lync Server 2013; jQuery-Modul, Skripte | nein | |
hoch | 2 | SFB | Windows 8.1 x64, 10 x64, Server 2012 R2; Hyper-V | ja |
u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
DoS - Denial of Service: Programm stürzt ab oder reagiert nicht mehr
ID – Information Disclosure: Datenleck
SFB - Security Feature Bypass: Sicherheitsfunktion umgehen
Ausnutzbarkeit:
0 - wird bereits ausgenutzt
1 - Ausnutzung wahrscheinlich
2 - Ausnutzung weniger wahrscheinlich
3 - Ausnutzung unwahrscheinlich