Patchday: Microsoft schließt kritische Lücken in Windows, IE und Edge

Update (Bild: Shutterstock)

Insgesamt bringt der Mai-Patchday 15 Sicherheitsupdates für 33 Anfälligkeiten, unten denen sich auch eine Zero-Day-Lücke befindet, die Anwender aller Internet Explorer-Versionen betrifft. Beseitigt werden zudem Schwachstellen in Office und .NET Framework.

Mit den 15 Sicherheitsupdates, die Microsoft an seinem Mai-Patchday veröffentlicht hat, beseitigt der Hersteller 33 Anfälligkeiten. Als kritisch eingestufte Sicherheitslücken befinden sich dabei in Internet Explorer, Edge, JScript und VBScript, Office sowie in allen Windows-Versionen. Außerdem weist Microsoft darauf hin, dass eine Schwachstelle, die Internet Explorer, JScript und VBScript angreifbar macht, inzwischen aktiv für Hackerangriffe ausgenutzt wird.

(Bild: Shutterstock)

Betroffen sind davon Internet Explorer 9, 10 und 11 sowie JScript und VBScript unter Windows Vista und Server 2008. CVE-2016-0189 ermöglicht laut Microsoft das Einschleusen und Ausführen von Schadcode. Ein Opfer muss dazu nur auf eine speziell gestaltete Website gelockt werden. Die Schwachstelle lässt sich aber auch über manipulierte Anzeigen ausnutzen.

Durch speziell präparierte Office-Dokumente lassen sich wiederum mehrere Speicherfehler unter Office 2007, 2010, 2013 und 2013 RT, 2016 sowie Office für Mac 2011 und Office 2016 für Mac auslösen. Auch sie ermöglichen dann eine Remotecodeausführung. Auch Word Viewer, das Office Compatibility Pack, die Office Web Apps 2010 und die Word-Automatisierungsdienste unter SharePoint Server 2010 Service Pack 2 sind davon betroffen.

Microsoft beseitigt weitere kritische Schwachstellen in der Windows-Grafikkomponente, Windows Journal und Windows-Shell. Indes geht ein hohes Risiko von Schwachstellen in den Komponenten IIS, Media Center, Kernel, Remoteprozeduraufruf, Kernelmodustreiber und Volume-Manager-Treiber aus. Ein Fehler in der TLS/SSL-Implementierung von .NET Framework kann zur Offenlegung von Informationen führen. Zudem ist der virtuelle sichere Modus von Windows 10 für die Umgehung von Sicherheitsfunktionen anfällig.

Auf ein noch nicht veröffentlichtes Sicherheitsupdate für Adobe Flash Player verweist ein sechzehntes Bulletin. Es soll eine Zero-Day-Lücke schließen, vor der Adobe aktuell warnt. Das für morgen angekündigte Update APSB16-15 enthält demnach Fixes für insgesamt 24 Schwachstellen.

Nutzer sollten speziell die kritischen Updates möglichst schnell installieren, wenn nicht ohnehin die automatische Aktualisierung unter Windows zum Einsatz kommt. Die Patches können direkt über die jeweiligen Bulletins oder Microsoft Update beziehungsweise Windows Update bezogen werden.

Windows 10-Nutzer erhalten außerdem das Build 10586.318. Es soll die Zuverlässigkeit von Cortana, Bluetooth, Shell, Internet Explorer 11, Edge, Miracast und USB verbessern. Zudem wurden Probleme mit der Umstellung auf die Sommerzeit und der Erkennung von Compact-Flash-Speicherkarten behoben.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.