Windows – Microsoft schließt kritisches Zero-Day-Leck

14 Sicherheitsbulletins veröffentlicht Microsoft am ersten Dienstag des Monats November. Der Hersteller behebt damit fünf kritische Lecks in Windows, Internet Explorer, Edge und den in den Microsoft-Browsern integrierten Flash-Plug-ins.

Zudem stellt das Unternehmen einen Fix für die von Google in der vergangenen Woche öffentlich gemachte Zero-Day-Lücke in Windows zur Verfügung. Insgesamt behebt Microsoft damit 82 Sicherheitslücken.

Die Schwachstelle mit der Kennung CVE-2016-7255 in der Datei Win32k.sys erlaubt die unautorisierte Ausweitung von Benutzerrechten. Wie Microsoft mitteilt, werde diese derzeit von russischen Hackern für zielgerichtete Angriffe benutzt. Das Risiko durch dieses Leck bewertet Microsoft als hoch. Unter Umständen kann ein Hacker die vollständige Kontrolle über ein System erlangen. Betroffen sind Windows Vista, Server 2008, 7, Server 2008 R2, 8.1 und RT 8.1, Server 2012 und 2012 R2, 10 und Server 2016.

In den Browsern Edge und Internet Explorer stecken insgesamt 24 als kritisch eingestufte Anfälligkeiten. Hier ist das Einschleusen und Ausführen von Schadcode aus der Ferne denkbar. Ein Opfer muss dafür lediglich auf eine speziell gestaltete Website gelockt werden, die mit Edge oder IE angezeigt wird. Ist der Nutzer als Administrator angemeldet, erhält der Hacker zudem die vollständige Kontrolle über das System.

Als kritisch sind auch vier Lücken in der Microsoft-Grafikkomponente eingestuft. Diesen Schweregrad vergibt Microsoft auch für drei weitere Anfälligkeiten in allen Windows-Versionen, die eine Remotecodeausführung oder eine Rechteerweiterung erlauben. Ersteres gilt auch für die neuen Bugs in Flash Player, für die Adobe seit gestern Abend ein eigenes Update anbietet.

Das Update MS16-133 beseitigt 12 Anfälligkeiten in Office 2007, 2010, 2013 und 2013 RT, 2016 sowie Office für Mac 2011 und Office 2016 für Mac. Die Fehler stecken in den Anwendungen Word und Excel. Weitere sechs Löcher werden durch ein Update für SQL Server 2012, 2014 und 2016 gestopft.

Zehn sicherheitsrelevante Bugs korrigiert Microsoft in den Treibern des gemeinsamen Protokollsystems. Administratorrechte erhalten Angreifer, die drei Fehler in den Windows-Authentifizierungsmethoden ausnutzen. Zuvor müssen sie sich jedoch mit gültigen Anmeldeinformationen bei einem mit einer Domäne verbundenen Zielsystem authentifizieren. Eine Rechteerweiterung ist auch eine mögliche Folge von vier Lücken in Microsofts virtuellen Festplattentreibern.

Der Patch MS16-140 schließlich soll die Umgehung von Sicherheitsfunktionen unter Windows 8.1 und RT 8.1, Server 2012, 10 und Server 2016 verhindern. Dafür werden bestimmte Richtlinien für den Start-Manager zurückgerufen. Unter Umständen wird für den Patch laut Microsoft aber auch ein Firmwareupdate des Originalgeräteherstellers (OEM) benötigt.

[mit Material von Stefan Beiersmann, ZDNet.de]