Microsoft schließt Sicherheitslücken in Edge und Office

Updates Patches (Bild: Shutterstock/Pavel Ignatov)

Im Zuge des Januar Patchdays 2017 behebt Microsoft 15 Schwachstellen, von denen drei als “kritisch” eingestuft werden. Neben dem Browser Edge und Office sind Windows Vista, Server 2008, 7 und Server 2008 R2 angreifbar. Außerdem muss wieder einmal das Flash-Plug-in aktualisiert werden.

Microsoft hat im Zuge des Januar-Patchdays vier Security-Bulletins veröffentlicht. Demnach behebt das Unternehmen in diesem Monat insgesamt 15 Schwachstellen, von denen vier als “Kritisch” eingestuft werden. Drei davon stecken in den Microsoft-Produkten Edge, Office und Windows. Außerdem ist wie schon durch ein Security-Advisory von Adobe bekannt das Flash-Plug-in für Edge und Internet Explorer 10 und 11 angreifbar.

Im Browser Edge behebt Microsoft einen sicherheitsrelevanten Fehler, der eine unautorisierte Ausweitung von Benutzerrechten ermöglicht. Die Sicherheitslücke lässt sich mittels präparierten Websites ausnutzen, wenn sie mit Edge auf einem Rechner mit Windows 10 und Windows Server 2016 aufgerufen werden.

Eine weitere Schwachstelle steckt in Word 2016 und SharePoint Enterprise Server 2016. Im Bulletin MS17-002 erklärt Microsoft, dass ein Speicherfehler das Einschleusen und Ausführen von Schadcode aus der Ferne ermöglicht. Allerdings geht das nur mit den Rechten des angemeldeten Benutzers. Um die Lücke auszunutzen kann eine präparierte Office-Datei ausreichen.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Die Schwachstelle lässt sich darauf zurückführen, dass das Subsystem für die lokale Sicherheitsautorität (Local Security Authority Subsystem Service, LSASS) Authentifizierungsanfragen unter Umständen nicht korrekt verarbeitet. “Ein Angreifer kann einen Denial-of-Service-Fehler für den LSASS-Dienst des Zielsystems verursachen, wodurch ein automatischer Neustart des Systems ausgelöst wird”, so Microsoft. Der Fehler tritt unter Windows Vista, Server 2008, 7 und Server 2008 R2 auf.

Mit dem Update MS17-003 werden 12 Sicherheitslücken im Flash-Plug-in von Adobe geschlossen. Microsoft hat das in Internet Explorer 10 und 11 für Windows 8.1, Server 2012 und 2012 R2 sowie Edge und Internet Explorer 11 für Windows 10 und Server 2016 integriert. Angreifer könnten mithilfe die Fehler ausnutzen, um die vollständige Kontrolle über ein System übernehmen.

Mehr zum Thema

Alternativen für Reader, Photoshop & Co.

Der Flash-Player ist am Ende. Zum Glück, denn er ist ein Einfallstor für Trojaner und Hacker, und mit HTML5 gibt es einen passenden Ersatz. Doch ein Leben ganz ohne Adobe? Ohne Reader? Ohne Photoshop? Es ist möglich – mit Programmen, die dazu noch kostenlos sind.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.