Microsoft stopft 13 Lücken, Adobe zwei

Die-grosse-Patch-Parade-658x370-904194388704ebcb

Am Patchday im April sichert Microsoft .NET Framework, Edge, Internet Explorer, Office Windows (Client und Server) und XML Core Services 3.0 ab. Dafür stellen sie insgesamt 13 Patches für sechs als kritisch und sieben als wichtig eingestufte Lücken bereit.

Ein kumulatives Sicherheitsupdate macht den Internet Explorer sicherer und behebt unter anderem eine kritische Lücke, über die Angreifer Code auf Computer schieben können. Dafür müssen sie Opfer Microsoft zufolge auf eine präparierte Webseite locken. Im Falle von Admin-Rechten können Computer so übernommen werden. Auch Edge erhält ein kumulatives Sicherheitsupdate, um ein identisches Angriffsszenario auszuschließen.

Eine weitere kritische Lücke klafft in der Microsoft-Grafikkomponente. Öffnen Opfer ein Dokument mit OpenType-Schriftdateien oder besuchen eine Webseite mit den Schriftdateien, können Angreifer eigenen Code aus der Fern ausführen. Davon sind .NET Framework, Lync, Office, Skype for Business und Windows bedroht.

In Microsoft XML Core Services findet sich ebenfalls eine als kritische eingestufte Schwachstelle. Aber auch hier muss ein Opfer dazu gebracht werden, auf einen Link zu klicken. Anschließend können Angreifer Computern Code unterjubeln.

Angreifer sind in der Lage, eine kritische Lücke in Office zu missbrauchen, um eigenen Code auszuführen. Dafür müssen sie einem Opfer eine manipulierte Office-Datei unterschieben.

Das .NET Framework ist verwundbar und Angreifer können Schadcode auf Computern ausführen. Um die Attacke zu starten, muss der Angreifer aber lokalen Zugriff auf ein System haben. Über eine Lücke in Windows OLE können Angreifer ebenfalls Code auf Systeme einschleusen.

Ein authentifizierter Angreifer kann im Kontext von Hyper-V auf einem Gastsystem eine spezielle Anwendung ausführen, um im Anschluss beliebigen Code auszuführen. Das funktioniert Microsoft zufolge aber nur, wenn Hyper-V-Rolle aktiviert ist.

Über weitere mit der Priorität hoch eingestufte Lücken in CSRSS, HTTP.sys, SAM- und LSAD-Remoteprotokoll und im sekundären Anmeldedienst können sich Angreifer erhöhte Berechtigungen erschleichen und Sicherheitsfunktionen umgehen. Bei der Schwachstelle im SAM- und LSAD-Remoteprotokoll handelt es sich um die sogenannte Badlock-Lücke, die neben Windows-Server auch in Samba klafft.

In Adobes RoboHelp Server 9.0.1 klafft eine kritische Schwachstelle in der Handhabung von SQL-Anfragen. Eine als wichtig eingestufte Lücke dichtet Adobe in der Creative Cloud Desktop Application bis einschließlich Version 3.5.1.209 ab. Über eine Schwachstelle in der JavaScript API der Creative Cloud Libraries kann ein Angreifer aus der Ferne Dateien auf einem Client-System lesen und schreiben.

Für Windows 10 verteilt Microsoft die Patches wie gewohnt als kumulatives Update und behebt dabei auch einige nicht-sicherheitsrelevante Probleme. Eine Liste dieser Verbesserungen pflegt Microsoft in seiner Windows 10 Update History. Windows 10 bekommt mit kumulativen Updates stets eine neue Build-Unternummer, an der sich der Patchlevel einer Windows-10-Installation komfortabel ablesen lässt.