Microsoft schließt 37 als kritisch eingestufte Sicherheitslücken
Im Zuge des turnusmäßigen Juli-Patchday schließt Microsoft 37 als “kritisch” eingestufte Schwachstellen. Zwei davon finden sich in den Druckerspooler-Komponenten von Windows Vista, Windows Server 2008, 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012 und Windows 2012 R2, RT sowie Windows 10. Angreifer können die Lücke unter Umständen ausnutzen, um über einen nicht autorisierten Druckertreiber Schadcode einzuschleusen und auszuführen.
27 Schwachstellen schließt Microsoft in seinen Browsern, also dem Internet Explorer 9, 10 und 11 sowie dem neuen Browser Edge. Auch ein Fehler in JScript und VBScript unter Windows Vista und Server 2008 sowie sieben Sicherheitslücken in Excel und Word 2007, Office sowie Excel, Outlook, PowerPoint und Word 2010, 2013 und 2016, Office RT 2013 und Office für Mac 2011 und 2016 werden geschlossen. Die Lücken in den Office-Programmen lassen sich mit manipulierten Office-Dateien ausnutzen und können Angreifern Remotecodeausführung erlauben.
Von 11 weiteren Schwachstellen geht Microsoft zufolge ein hohes Risiko aus. Zu ihnen gehört ein Fehler im sicheren Windows-Kernelmodus von Windows 10. Mit Fixes für sechs Bugs in den Kernelmodustreibern aller unterstützten Windows-Versionen soll verhindert werden, dass Angreifer die Nutzerrechte ausweiten. Außerdem stehen Patches für alle Versionen von .NET Framework zur Verfügung.
Eine Kernellücke in Windows 8.1, Server 2012 und 2012 R2, RT 8.1 und 10 erlaubt es Unbefugten unter Umständen, Sicherheitsfunktionen zu umgehen. Microsoft zufolge ermittelt der Kernel derzeit nicht ordnungsgemäß, wie eine wenig vertrauenswürdige Anwendung bestimmte Objekt-Manager-Funktionen nutzen kann. Durch eine im Kernel ergänzte Überprüfung soll dieser Fehler behoben werden.
Mit dem Update MS16-094 soll verhindert werden, dass Angreifer auf einem Gerät eine Richtlinie installieren, mit der sie die Secure-Boot-Sicherheitsfunktionen aushebeln können. Laut Microsoft werden allerdings Administratorrechte oder ein physischer Zugang zu dem Gerät benötigt, um diese Lücke ausnutzen zu können. Sie wird daher als weniger schwerwiegend eingestuft.
Nutzer von Windows 10 und Windows 10 Mobile erhalten mit Build 10586.494 neben den Sicherheits-Patches auch diverse Fehlerkorrekturen. Unter anderem wurden die Zuverlässigkeit von Windows Media Player, Internet Explorer 11, Windows Explorer und Miracast verbessert. Außerdem sollen verschiedene Probleme mit PDF-Dateien, Bluetooth und Netzwerk- und WLAN-Verbindungen der Vergangenheit angehören.
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.