Zum April-Patchday 2016 hat Microsoft insgesamt 13 Security Bulletins freigegeben. Mit ihnen informiert der Konzern zu Einzelheiten von 31 Schwachstellen in Office und Windows. Betroffen ist auch die Microsoft-Grafikkomponente Win32k, in der sich eine als schwerwiegend bewertete Schwachstelle (MS16-039) findet, die in sämtlichen unterstützten Windows-Ausgaben von Vista bis Windows 10 steckt. Mittels einer in ein Dokument oder eine Website eingebetteten OpenType-Schriftartendatei könnten Angreifer darüber Schadcode einschleusen und ausführen. Das funktioniert gleichermaßen beim .NET Framework, Skype for Business 2016, Lync 2013 und Lync 2010 sowie Office 2007 und 2010.
Ebenfalls als gravierend stuft Microsoft Schachstellen in Internet Explorer 9, 10 und 11, Edge, den Microsoft XML Core Services, Excel und Word 2007, Office 2010, Excel und Word 2013 und 2013 RT, Excel und Word 2016, Word für Mac 2011, Word 2016 für Mac sowie das Office Compatibility Pack sowie Word Viewer und Excel Viewer ein. Auch hier ist eine Remotecodeausführung möglich, wenn ein Anwender zum Beispiel ein manipuliertes Office-Dokument oder eine präparierte Website öffnet.
Insbesondere für die als schwerwiegend eingestuften Sicherheitslücken sollten Anwender die vorgesehenen Patches schnellstmöglich installieren, falls sie nicht ohnehin die automatische Aktualisierung unter Windows verwenden. Die Updates können direkt über die jeweiligen Bulletins oder Microsoft Update respektive Windows Update bezogen werden. Von weiteren Lücken in HTTP.sys, CSRSS, Windows Hyper-V, Windows OLE und .NET Framework geht ein hohes Risiko aus. Die nun freigegebenen Updates sollen unter anderem Denial-of-Service-Angriffe, das Umgehen von Sicherheitsfunktionen, eine unautorisierte Erweiterung von Berechtigungen sowie das Ausführen von Schadcode verhindern.
Der Patch MS16-047 schließt ein Leck im Samba-Protokoll. Auch er steht für alle unterstützten Windows-Versionen bereit. Die Badlock genannte Anfälligkeit war bereits vor rund drei Wochen bekannt geworden. Entdeckt hatte sie ein deutscher Samba-Entwickler. Die Vorankündigung hatte zum Teil für heftige Kritik gesorgt, weil der Fehler sich in Code findet, den der Entwickler selbst geschrieben haben soll.
“Das ist sicherlich ein Grund zur Sorge und Administratoren sollten ihre Systeme so schnell wie möglich patchen. Ich kann allerdings nicht sagen, dass diese Anfälligkeit einen Schweregrad aufweist, der die Aufmerksamkeit verdient, die Badlock durch eine speziell eingerichtete Website und eine Vorlaufzeit von drei Wochen erhalten hat”, kommentiert nun Karl Sigler, Threat Intelligence Manager des Sicherheitsanbieters Trustwave.
Das dreizehnte Bulletin beschäftigt sich zum ersten Mal separat mit einem Sicherheits-Update für Adobes Flash Player, den Microsoft in seine Browser Internet Explorer 10 und 11 sowie Edge unter Windows 8.1 und RT 8.1, Server 2012 und Server 2012 R2 sowie Windows 10 integriert hat. Adobe verteilt die neue Flash-Player-Version, die unter anderem eine Zero-Day-Lücke schließt, allerdings schon seit vergangener Woche.
Ebenfalls vergangene Woche hatte Microsoft angekündigt mit einem Update für Windows 10 im Sommer beim Browser Edge Nutzern mehr Kontrolle über Flash-Inhalte zu geben. Bestimmte Inhalte wie Werbung und Animationen soll der Browser dann künftig automatisch anhalten und nur abspeieln, wenn sie explizit angeklickt werden. Von den Einschränkungen werden nur für die jeweils aufgerufene Website zentrale Inhalte wie Videos und Spiele nicht betroffen sein. Damit folgt Microsoft dem Beispeil von Google, dass bei seinem Browser Chrome seit längerem ähnlich verfährt.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…