Microsofts Update-Dienstag bringt diesmal 12 neue Security Bulletins, die insgesamt 50 Schwachstellen behandeln. In vier Bulletins geht es um als kritisch eingestufte Sicherheitslücken. Die Mehrzahl der Lücken betrifft, wie so oft, den Internet Explorer 7 bis 11. Im neuen Browser Edge schließt Microsoft vier Lücken. Sieben zum Teil recht problematische Schwachstellen sind in den Office-Produkten zu stopfen. Sicherheits-Updates gibt es auch für die kommende Server-Generation, die derzeit als "Windows Server Technical Preview 3" getestet werden kann.
MS15-112– Internet Explorer (kritisch)
Im Internet Explorer (IE) 7 bis 11 aller unterstützten Windows-Versionen beseitigt Microsoft mit dem neuesten kumulativen Sicherheits-Update 25 Schwachstellen. Die meisten Lücken sind Fehler in der Speicherbehandlung, die es einem Angreifer ermöglichen können, schädlichen Code einzuschleusen und auszuführen. Angriffe, bei denen eine der Schwachstellen ausgenutzt würde, sind bislang nicht bekannt.
MS15-113– Edge (kritisch)
Vier der vorgenannten IE-Lücken muss Microsoft auch im neuen Web-Browser Edge in Windows 10 schließen. Drei dieser Lücken stuft Microsoft als kritisch ein. Auch hier ermöglichen es Fehler in der Speicherbehandlung einem Angreifer Code einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen. Entsprechende Angriffe sind bislang nicht bekannt.
MS15-114– Windows Journal (kritisch)
Eine weitere Schwachstelle im Windows Journal betrifft nur Windows Vista und 7 sowie Windows Server 2008 und Server 2008 R2. Öffnet ein Benutzer eine speziell präparierte Journaldatei, kann eingeschleuster Code ausgeführt werden.
MS15-115– Kernel (kritisch)
Dieses Security Bulletin behandelt sieben Schwachstellen in anfälligen Komponenten des Systemkerns aller Windows-Versionen. Dazu gehören der Adobe Type Manager sowie die Behandlung des Kernel- und Grafikspeichers durch den Windows-Kernel. Zwei dieser Lücken stuft Microsoft als kritisch ein.
MS15-116– Microsoft Office (hoch)
Sieben Sicherheitslücken verteilen sich ungleichmäßig über praktisch die gesamte Produktpalette der Office-Familie – von Office 2007 bis 2016 über Sharepoint Server 2007 bis 2013 bis zur Outlook-App und Excel für Mac. Mehrere Lücken können ausgenutzt werden, um Code einzuschleusen, indem ein Benutzer dazu verleitet wird, ein präpariertes Office-Dokument zu öffnen.
MS15-117– NDIS (hoch)
Eine Schwachstelle in der Netzwerkschnittstelle NDIS (Network Driver Interface Specification) betrifft wiederum nur Windows Vista und 7 sowie Windows Server 2008 und Server 2008 R2. Sie kann es einem angemeldeten Benutzer ermöglichen sich höhere Berechtigungen zu verschaffen.
MS15-118– .NET Framework (hoch)
Im .NET Framework aller Windows-Versionen schließt Microsoft drei Sicherheitslücken. Eine Schwachstelle kann ausgenutzt werden, um sich höhere Berechtigungen zu verschaffen, eine zur Offenlegung von Informationen und eine kann zur Umgehung des Sicherheitsmechanismus ASLR (Address Space Layout Randomization) dienen.
MS15-119– Winsock (hoch)
Eine Schwachstelle in der Winsock-Schnittstelle aller Windows-Versionen eignet sich für angemeldete Benutzer dazu höhere Berechtigungen zu erlangen. Dies wird dadurch ermöglicht, dass Winsock auf Speicheradressen zugreift, ohne deren Gültigkeit zu prüfen. Das Update beseitigt dieses Fehlverhalten.
MS15-120– IPSec (hoch)
Neuere Windows-Versionen (ab 8.x / RT / Server 2012) sind anfällig für DoS-Angriffe (Denial of Service), die auf eine Lücke im IPsec-Dienst (Internet Protocol Security) zielen. Ein Angreifer müsste dafür allerdings über gültige Anmeldeinformationen verfügen. Informationen über diese Schwachstelle sind bereits öffentlich bekannt, entsprechende Angriffe hingegen bisher nicht.
MS15-121– TLS (hoch)
Eine Spoofing-Lücke im Modul SChannel (Secure Channel) betrifft alle Windows-Versionen vor 10. Ein Angreifer kann die Schwachstelle im Rahmen eines Man-in-the-Middle-Angriffs auf eine Client-Server-Verbindung ausnutzen. Mit den dabei erhaltenen Anmeldeinformationen des Opfers (Benutzer A) kann er sich bei einem anderen Server anmelden (also diesem gegenüber die Identität des Benutzers A vortäuschen), sofern dieser die gleichen Anmeldedaten verwendet. Das Update fügt allen TLS-Versionen (Transport Layer Security, SSL-Nachfolger) eine erweiterte Unterstützung für die Bindung des Hauptschlüssels hinzu. Diese Schwachstelle ist bereits öffentlich bekannt, entsprechende Angriffsversuche hingegen bislang nicht.
MS15-122– Kerberos (hoch)
Eine Schwachstelle im Authentifizierungsdienst Kerberos aller Windows-Versionen kann ausgenutzt werden, um eine Sicherheitsfunktion auszutricksen. Durch Umgehen der Kerberos-Authentifizierung könnte ein Angreifer durch BitLocker geschützte Laufwerke entschlüsseln. Dies kann jedoch nur gelingen, wenn BitLocker ohne PIN oder USB-Schlüssel eingerichtet wurde, der Zielcomputer Mitglied einer Domain ist und der Angreifer physischen Zugriff auf den Rechner hat.
MS15-123– Skype for Business, Lync (hoch)
In Skype for Business 2016 sowie in Lync 2010 und 2013 beseitigt Microsoft eine Schwachstelle, die zur Preisgabe potenziell vertraulicher Informationen führen kann. Ein Angreifer könnte HTML- und Javascript-Inhalte im Skype for Business- oder Lync-Client eines Chat-Partners ausführen.
MS15-099– Microsoft Office (kritisch)
Microsoft hat dieses Bulletin aus dem September aktualisiert und neue, überarbeitete Updates bereit gestellt. So soll die Sicherheitslücke CVE-2015-2545 umfassend (also gründlicher als bislang) beseitigt werden. Nutzer betroffener Office-Anwendungen sollten die neuen Updates umgehend installieren, um geschützt zu sein.
Außerdem verteilt Microsoft seine kleine Wurmkur, das Windows-Tool zum Entfernen bösartiger Software, in der neuen Version 5.30.
Die Security Bulletins im Überblick:
|
Bulletin |
Risikostufe |
Ausnutz-barkeit |
Effekt |
anfällige Software/Komponente(n) |
Neustartnötig? |
|
kritisch |
1 |
RCE |
Windows (alle); Internet Explorer 7 bis 11 |
ja | |
|
kritisch |
1 |
RCE |
Windows 10; Edge |
ja | |
|
kritisch |
1 |
RCE |
Windows Vista, 7, Server 2008 / 2008 R2; Windows Journal |
u.U. | |
|
kritisch |
1 |
RCE |
Windows (alle); Kernelspeicher, Grafikspeicher |
ja | |
|
hoch |
1 |
RCE |
MS Office (alle), Office Web Apps, Outlook Mac-App, SharePoint Server 2007, 2010, 2013, Lync 2013, Skype for Business 2016 |
u.U. | |
|
hoch |
2 |
EoP |
Windows Vista, 7, Server 2008 / 2008 R2; NDIS |
ja | |
|
hoch |
1 |
EoP |
Windows (alle); .NET Framework |
nein | |
|
hoch |
2 |
EoP |
Windows (alle); Winsock |
ja | |
|
hoch |
2 |
DoS |
Windows 8.x, RT, Server 2012 / 2012 R2; IPSec |
u.U. | |
|
hoch |
2 |
Spoofing |
Windows (alle außer 10); TLS, SChannel |
ja | |
|
hoch |
2 |
SFB |
Windows (alle außer RT); Kerberos |
ja | |
|
hoch |
2 |
ID |
Lync 2010 / 2013, Skype for Business; HTML, Javascript |
u.U. |
u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
DoS – Denial of Service: Programm/Rechner stürzt ab oder reagiert nicht mehr
ID – Information Disclosure: Datenleck
SFB – Security Feature Bypass: Sicherheitsfunktion umgehen
Ausnutzbarkeit:
1 – Ausnutzung wahrscheinlich
2 – Ausnutzung weniger wahrscheinlich
(PC-Welt/mb)