Microsoft_patchAnlässlich seines November-Patchdays hat Microsoft zwar nur 14 statt der angekündigten 16 Patch-Pakete veröffentlicht, allerdings behandeln vier davon kritische Lücken – und die haben es in sich. Unter anderem hat das Unternehmen eine fatale Schwachstelle in der Schannel (auch Secure Channel) genannten Krypto-Infrastruktur von Windows geschlossen. Wie Microsoft in dazugehöriigen Advisory schreibt, können Angreifer die Lücke missbrauchen, um mit speziell präparierten Datenpaketen Code in Windows Server 2003 SP2 bis 2012 R2 einzuschleusen.

Darüber hinaus hat Microsoft auch zwei kritische Lücken in der OLE-Schnittstelle sämtlicher Windows-Versionen abgedichtet, die bereits für Cyber-Attacken missbraucht wurden. Auch sie erlauben das Einschleusen von Schadcode. Wenigstens eine der beiden steht in Zusammenhang mit der Sandworm-Schwachstelle, die Microsoft bereits im Oktober abzudichten versuchte.

Die Sicherheitsfirma McAfee stellte kurz darauf jedoch fest, dass man die Lücke auch nach der Installation des Oktober-Patches ausnutzen kann. Microsoft reagierte darauf mit einem FixIt-Tool, welches das Sicherheitsloch provisorisch abgedichtet hat. Angreifer können die OLE-Lücken über speziell präparierte Webseiten und Office-Dokumente missbrauchen. Ist der Nutzer als Admin unterwegs, kann der Schadcode auch mit Adminrechten wüten.

Weitere zehn Patch-Pakete stuft Microsoft maximal als „wichtig“ ein. Eines davon betrifft etwa Microsoft Word 2007 SP3, den Word Viewer und das Office Compatibility Pack SP3. Es dichtet drei vertraulich gemeldete Lücken ab, die sich ebenfalls zum Einschleusen von Code eignen.

Privilege-Escalation-Lücken dichtete Microsoft etwa in sämtlichen Windows-Versionen, in SharePoint Server 2010 SP2, in Windows Server 2003 SP2 sowie im .NET Framework ab.

 

(Quelle:heise)