Kritische Lecks in Internet Explorer und Windows behoben

Der Februar-Patchday von Microsoft behbebt 13 Sicherheitsupdates. Die Browser Internet Explorer sowie Edge, Office-Anwendungen und alle Windows-Versionen bekommen sicherheitsrelevante Aktualisierungen. Auch das .NET Framework bekommt eine Aktualisierung.

Die Patches MS16-009 und MS16-011 beheben 13 Fehler in Internet Explorer 9, 10 und 11 sowie 6 weitere Bugs in Edge. Angreifer können auf den Rechnern der Opfer über eine manipulierte Website Schadcode einschleusen und ausführen. Die Kontrolle über ein System erlangt ein Hacker allerdings nur, wenn der Nutzer mit administrativen Rechten angemeldet ist.

Zwei weitere kritische Lücken stecken in der Windows-PDF-Bibliothek unter Windows 8.1, Server 2012 und 2012 R2 sowie Windows 10. Unter Umständen verarbeitet die PDF-Bibliothek bestimmte API-Aufrufe fehlerhaft, was wiederum eine Remotecodeausführung erlaubt. Für Windows Vista, Server 2008, 7, Server 2008 R2, 8.1, Server 2012 und 2012 R2 und Windows 10 steht der Patch MS16-013 zur Verfügung. Er stopft ein kritisches Loch im Windows-Journal. Auch hier sind Benutzer mit Konten, die über weniger Systemrechte verfügen, möglicherweise weniger betroffen als Nutzer mit Administratorrechten.

Als kritisch bewertet Microsoft auch drei von sechs Schwachstellen in Office sowie Word und Excel 2007, 2010, 2013, 2013 RT und 2016 sowie Excel und Word für Mac 2011 und 2016. Das Update MS16-015 korrigiert aber auch einen Fehler in SharePoint, der die Erstellung siteübergreifender Skripte erlaubt. Ein Angreifer könnte unter Umständen “Inhalte lesen, für die er keine Leseberechtigung besitzt, die Identität des Opfers und schädlichen Inhalt in den Browser des Opfers injizieren”, teilt Microsoft mit.

Von den Lücken, die die weiteren sieben Updates schließen sollen, geht laut Microsoft ein hohes Risiko aus. Darunter sind Anfälligkeiten in allen unterstützten Windows-Versionen sowie den Komponenten Winsock, Remote-Desktop-Protokoll, Kernelmodustreibern, Active Directory und NPS-Radius-Server. Sie sollen unter anderem Denial-of-Service-Angriffe sowie eine nicht autorisierte Ausweitung von Benutzerrechten ermöglichen. Das Update MS16-019 für .NET Framework 2, 3.5.1, 4.5.2 und 4.6.x behebt zwei Löcher, die Denial-of-Service erlauben oder zur Offenlegung persönlicher Informationen führen können.

Für Windows 10 steht zudem ein kumulatives Update zur Verfügung. Es bringt das Build 10586.104. Neu ist auch, dass Microsoft auf seiner Website ausführliche Versionshinweise veröffentlicht – bisher hatte das Unternehmen keine Angaben zu nicht sicherheitsrelevanten Verbesserungen oder Korrekturen der kumulativen Patches gemacht.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.