Kritische Lecks in Internet Explorer und Windows behoben

Der Februar-Patchday von Microsoft behbebt 13 Sicherheitsupdates. Die Browser Internet Explorer sowie Edge, Office-Anwendungen und alle Windows-Versionen bekommen sicherheitsrelevante Aktualisierungen. Auch das .NET Framework bekommt eine Aktualisierung.

Die Patches MS16-009 und MS16-011 beheben 13 Fehler in Internet Explorer 9, 10 und 11 sowie 6 weitere Bugs in Edge. Angreifer können auf den Rechnern der Opfer über eine manipulierte Website Schadcode einschleusen und ausführen. Die Kontrolle über ein System erlangt ein Hacker allerdings nur, wenn der Nutzer mit administrativen Rechten angemeldet ist.

Zwei weitere kritische Lücken stecken in der Windows-PDF-Bibliothek unter Windows 8.1, Server 2012 und 2012 R2 sowie Windows 10. Unter Umständen verarbeitet die PDF-Bibliothek bestimmte API-Aufrufe fehlerhaft, was wiederum eine Remotecodeausführung erlaubt. Für Windows Vista, Server 2008, 7, Server 2008 R2, 8.1, Server 2012 und 2012 R2 und Windows 10 steht der Patch MS16-013 zur Verfügung. Er stopft ein kritisches Loch im Windows-Journal. Auch hier sind Benutzer mit Konten, die über weniger Systemrechte verfügen, möglicherweise weniger betroffen als Nutzer mit Administratorrechten.

Loading ...

Als kritisch bewertet Microsoft auch drei von sechs Schwachstellen in Office sowie Word und Excel 2007, 2010, 2013, 2013 RT und 2016 sowie Excel und Word für Mac 2011 und 2016. Das Update MS16-015 korrigiert aber auch einen Fehler in SharePoint, der die Erstellung siteübergreifender Skripte erlaubt. Ein Angreifer könnte unter Umständen “Inhalte lesen, für die er keine Leseberechtigung besitzt, die Identität des Opfers und schädlichen Inhalt in den Browser des Opfers injizieren”, teilt Microsoft mit.

Von den Lücken, die die weiteren sieben Updates schließen sollen, geht laut Microsoft ein hohes Risiko aus. Darunter sind Anfälligkeiten in allen unterstützten Windows-Versionen sowie den Komponenten Winsock, Remote-Desktop-Protokoll, Kernelmodustreibern, Active Directory und NPS-Radius-Server. Sie sollen unter anderem Denial-of-Service-Angriffe sowie eine nicht autorisierte Ausweitung von Benutzerrechten ermöglichen. Das Update MS16-019 für .NET Framework 2, 3.5.1, 4.5.2 und 4.6.x behebt zwei Löcher, die Denial-of-Service erlauben oder zur Offenlegung persönlicher Informationen führen können.

Für Windows 10 steht zudem ein kumulatives Update zur Verfügung. Es bringt das Build 10586.104. Neu ist auch, dass Microsoft auf seiner Website ausführliche Versionshinweise veröffentlicht – bisher hatte das Unternehmen keine Angaben zu nicht sicherheitsrelevanten Verbesserungen oder Korrekturen der kumulativen Patches gemacht.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

22 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

23 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

2 Tagen ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

2 Tagen ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

2 Tagen ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago