Windows-Patchday: Microsoft schließt 62 Schwachstellen
17 behobene Sicherheitslöcher sind als kritisch eingestuft. Der wichtigste Fix gilt der Zero-Day-Lücke, die Ende August über Twitter öffentlich wurde. Auch bei drei weiteren Sicherheitsfehlern wurden zuvor schon Einzelheiten bekannt.
Am September-Patchday hat Microsoft Sicherheitsupdates für 62 Schwachstellen veröffentlicht, von denen 17 als kritisch eingestuft wurden. Behoben werden soll damit auch eine Zero-Day-Lücke, die Ende August auf Twitter enthüllt wurde.
In diesem Monat verfügbare Patches betreffen Produkte wie Microsoft Windows, die Browser Edge und Internet Explorer, ASP.NET, das .NET Framework, die ChakraCore-Komponente von Edge und wie immer den Adobe Flash Player. Die Patches sollen weiterhin Sicherheitslöcher in Microsoft.Data.OData, Microsoft Office, Microsoft-Office-Services und Web-Apps schließen.
Der wichtigste Fix gilt der Zero-Day-Schwachstelle, die als CVE-2018-8440 erfasst wurde. Diese betrifft die im Windows-Kernel integrierte Kommunikations-Schnittstelle Advanced Local Procedure Call (ALPC). Dank der Schwachstelle können Angreifer über den Task-Scheduler die Rechte von lokalen Benutzern erhöhen und sich so die vollständige Kontrolle über das System verschaffen.
Nach der Twitter-Veröffentlichung wurde Ende August bestätigt, dass der Fehler auch “in einem vollständig gepatchten 64-Bit-Windows 10-System funktioniert”. Wenige Tage später wurde von der aktiven Malware-Kampagne einer als PowerPool bekannten Gruppe berichtet, die das Sicherheitsloch für ihre kriminellen Zwecke nutzte.
Die Patch-Sammlung dieses Monats gilt noch drei weiteren Sicherheitsfehlern, über die schon zuvor Einzelheiten öffentlich wurden, die laut Microsoft aber noch keine Angriffe zur Folge hatten. CVE-2018-8409 könnte DoS-Attacken erlauben. Bei der kritischen Schwachstelle CVE-2018-8457 geht es um Speicherkorruption im Zusammenhang mit der Scripting Engine. CVE-2018-8475 könnte Remotecodeausführung ermöglichen und ist ebenfalls als kritisch eingestuft.
Microsoft hat gleichzeitig mehr darüber enthüllt, wie es intern mit eingehenden Fehlermeldungen umgeht. Zwei finale Dokumente des Microsoft Security Response Center (MSRC) beschreiben die Verfahrensweisen, mit denen die Mitarbeiter Sicherheitsfehler priorisieren und klassifizieren.