Microsoft patcht Sicherheitslücke in allen Windows-Versionen

Zum April-Patchday 2016 hat Microsoft insgesamt 13 Security Bulletins freigegeben. Mit ihnen informiert der Konzern zu Einzelheiten von 31 Schwachstellen in Office und Windows. Betroffen ist auch die Microsoft-Grafikkomponente Win32k, in der sich eine als schwerwiegend bewertete Schwachstelle (MS16-039) findet, die in sämtlichen unterstützten Windows-Ausgaben von Vista bis Windows 10 steckt. Mittels einer in ein Dokument oder eine Website eingebetteten OpenType-Schriftartendatei könnten Angreifer darüber Schadcode einschleusen und ausführen. Das funktioniert gleichermaßen beim .NET Framework, Skype for Business 2016, Lync 2013 und Lync 2010 sowie Office 2007 und 2010.

Ebenfalls als gravierend stuft Microsoft Schachstellen in Internet Explorer 9, 10 und 11, Edge, den Microsoft XML Core Services, Excel und Word 2007, Office 2010, Excel und Word 2013 und 2013 RT, Excel und Word 2016, Word für Mac 2011, Word 2016 für Mac sowie das Office Compatibility Pack sowie Word Viewer und Excel Viewer ein. Auch hier ist eine Remotecodeausführung möglich, wenn ein Anwender zum Beispiel ein manipuliertes Office-Dokument oder eine präparierte Website öffnet.

Insbesondere für die als schwerwiegend eingestuften Sicherheitslücken sollten Anwender die vorgesehenen Patches schnellstmöglich installieren, falls sie nicht ohnehin die automatische Aktualisierung unter Windows verwenden. Die Updates können direkt über die jeweiligen Bulletins oder Microsoft Update respektive Windows Update bezogen werden. Von weiteren Lücken in HTTP.sys, CSRSS, Windows Hyper-V, Windows OLE und .NET Framework geht ein hohes Risiko aus. Die nun freigegebenen Updates sollen unter anderem Denial-of-Service-Angriffe, das Umgehen von Sicherheitsfunktionen, eine unautorisierte Erweiterung von Berechtigungen sowie das Ausführen von Schadcode verhindern.

Der Patch MS16-047 schließt ein Leck im Samba-Protokoll. Auch er steht für alle unterstützten Windows-Versionen bereit. Die Badlock genannte Anfälligkeit war bereits vor rund drei Wochen bekannt geworden. Entdeckt hatte sie ein deutscher Samba-Entwickler. Die Vorankündigung hatte zum Teil für heftige Kritik gesorgt, weil der Fehler sich in Code findet, den der Entwickler selbst geschrieben haben soll.

“Das ist sicherlich ein Grund zur Sorge und Administratoren sollten ihre Systeme so schnell wie möglich patchen. Ich kann allerdings nicht sagen, dass diese Anfälligkeit einen Schweregrad aufweist, der die Aufmerksamkeit verdient, die Badlock durch eine speziell eingerichtete Website und eine Vorlaufzeit von drei Wochen erhalten hat”, kommentiert nun Karl Sigler, Threat Intelligence Manager des Sicherheitsanbieters Trustwave.

Das dreizehnte Bulletin beschäftigt sich zum ersten Mal separat mit einem Sicherheits-Update für Adobes Flash Player, den Microsoft in seine Browser Internet Explorer 10 und 11 sowie Edge unter Windows 8.1 und RT 8.1, Server 2012 und Server 2012 R2 sowie Windows 10 integriert hat. Adobe verteilt die neue Flash-Player-Version, die unter anderem eine Zero-Day-Lücke schließt, allerdings schon seit vergangener Woche.

Ebenfalls vergangene Woche hatte Microsoft angekündigt mit einem Update für Windows 10 im Sommer beim Browser Edge Nutzern mehr Kontrolle über Flash-Inhalte zu geben. Bestimmte Inhalte wie Werbung und Animationen soll der Browser dann künftig automatisch anhalten und nur abspeieln, wenn sie explizit angeklickt werden. Von den Einschränkungen werden nur für die jeweils aufgerufene Website zentrale Inhalte wie Videos und Spiele nicht betroffen sein. Damit folgt Microsoft dem Beispeil von Google, dass bei seinem Browser Chrome seit längerem ähnlich verfährt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Rainer Schneider

Zwischen September 2013 und Juni 2016 war Rainer zunächst als Volontär udn später als Redakteur hauptsächlich für ITespresso im Einsatz, schrieb aber gerne auch Artikel für silicon.de und ZDNet. Schwerpunkte waren IT-Security und Mobile.

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago