Microsoft schließt zum August-Patchday 34 Sicherheitslücken

Peter Marwan,
Microsoft (Bild: Microsoft)

Davon stuft Microsoft 20 als kritisch ein. Sie stecken in Internet Explorer, dem Browser Edge und der Microsoft-Grafikkomponente. Betroffen sind damit alle gängigen Versionen von Windows und Office.

Im Zuge des August-Patchday hat Microsoft neun Sicherheits-Updates bereitgestellt, mit denen der Konzern insgesamt 34 Sichehreitslücken schließt. Davon stuft Microsoft 20 als “kritisch” ein, von den restlichen 14 Schwachstellen geht immerhin noch ein “hohes” Risiko aus.

Die als kritisch eingestuften Lücken stecken in den Browsern Internet Explorer und Edge sowioe in der Microsoft-Grafikkomponente. Daher sind davon Windows Vista, 7, 8.1, RT 8.1, 10, Server 2008 und Server 2012 betroffen. Neun Fehler stecken alleine in Internet Explorer 9, 10 und 11. Um sie ausnutzen reicht es, den Anwender auf eineh speziell gestaltete Website zu locken. Der Angreifer kann dann die Rechte des angemeldeten Nutzers erhalten. Ebenso und mit den selben Auswirkungen lassen sich die acht Sicherheitslücken ausnutzen, die mit dem Patch MS16-096 in Edge geschlossen werden.

Edge (Grafik: Microsoft)
Acht der nun geschlossenen, als kritisch eingestuften Sicherheitslücken stecken im Microsoft-Browser Edge (Grafik: Microsoft)

Die drei Bugs in der Microsoft-Grafikkomponente führen zu Sicherheitsproblemen in allen unterstützten Windows-Versionen sowie in Office 2007 und 2010 und auch in Skype for Business 2016, Microsoft Lync 2013 und Lync 2010. Um sie auszunutzen, kann ein Angreifer Anwender entweder auf präparierte Websites locken oder ihnen präparierte Dokumente zusenden. Werden die vom Empfänger geöffnet, ist Remotecodeausführung möglich.

Von den 14 weiteren nun geschlossenen Schwachstellen geht laut Microsoft ein “hohes” Risiko aus. Vier stecken in den Windows-Kernelmodustreibern und ermöglichen es Angreifer unter Umständen, unbefugt die Benutzerrechte auszuweiten udn so die vollständige Kontrolle über ein System zu übernehmen. Microsoft patcht zudem auch fünf Sicherheitslücken in Office 2007, 2010, 2013, 2013 RT und 2016, Office für Mac 2011, Office 2016 für Mac und Word Viewer. Sie lassen sich möglicherweise ausnutzen, um persönliche Informationen auszuspähen.

Das Update MS16-100 soll zudme verhindern, das Angreifer Sicherheitsfunktionen beim sicheren Start umgehen können. Außerdem werden Fehler in den Authentifizierungsmethoden Kerberos und NetLogon behoben. Weitere Updates liefert Microsoft für den ActiveSyncProvider von Windows 10 und die Windows-PDF-Bibliothek für Windows 8.1, 10 und Server 2012.

Die Patches werden über die Windows-Update-Funktion verteilt. Für Windows 10 liefert Microsoft zudem ein kumulatives Update, das auch einige funktionale Fehler beseitigt. Es steht für Windows 10 Version 1607 (Anniversary Update), Windows 10 Version 1511 (November-Update) und das ursprüngliche Release Windows 10 Version 1507 bereit. Windows Insider erhalten für Desktops und Smartphones Build 14393.67. Außerhalb des Insider-Programms gibt es für Windows Phones derzeit weder ein kumulatives Update für das aktuelle Build 10586.494 noch das Anniversary Update Build 14393.x.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.