Patchday: Microsoft verarztet 50 Sicherheitslücken

Patchday: Microsoft

In vielen Windows-Versionen klafft unter anderem eine kritische Lücke in der DNS-Programmierschnittstelle. Sicherheitsupdates stehen bereit.

Am Patchday im Juni sichert Microsoft Edge, Internet Explorer, Office und Windows ab. Insgesamt bügeln Sicherheitsupdates 50 Fehler aus, die die Sicherheit von Computern gefährden. Elf Schwachstellen gelten als “kritisch”. Die Patches für die restlichen 39 Lücken stuft Microsoft als “wichtig” ein.

Die kritischste Lücke in diesem Monat klafft im Windows Domain Name System (DNS) DNSAP.dll. Für eine erfolgreiche Attacke muss ein Angreifer lediglich über einen DNS-Server eine präparierte DNS-Rückmeldung an ein verwundbares System schicken. Anschließend soll er Schadcode ausführen können. Davon sind Windows 7 bis 10 und verschiedene Ausgaben von Windows Server betroffen.

Eine kritische Lücke in Internet Explorer war schon vorab bekannt – bislang gibt es Microsoft zufolge aber noch keine Attacken. Für einen erfolgreichen Angriff soll der Besuch einer von Angreifern speziell vorbereiteten Webseite ausreichen. Microsoft warnt, dass die Initialisierung eines Übergriffs auch über präparierte Werbeelemente stattfinden kann, die eine beliebige Webseite aus einem Werbenetzwerk bezieht. Ist eine Attacke erfolgreich, soll ein Angreifer Schadcode mit den Rechten des Opfers ausführen können. Hat ein Opfer Admin-Rechte, gilt ein Computer als kompromittiert.

Derartige Speicherfehler-Lücken klaffen auch in Edge. Das Angriffsszenario ist ähnlich. Alternativ sollen Attacken auch über manipulierte Dokumente möglich sein, die ein Opfer öffnen muss.

Adobe hat bereits vergangene Woche einen Notfallpatch für seinen Flash Player veröffentlicht. Eine Lücke nutzen Angreifer derzeit aus und haben es dabei gezielt auf Windows-Nutzer abgesehen. Die Ausgabe 30.0.0.113 ist abgesichert. Unter Windows 8.1 und 10 bekommen Internet Explorer 11 und Edge die aktuelle Flash-Version automatisch.

Weitere Schwachstellen finden sich in verschiedenen Windows-Komponenten wie Kernel und Device Guard. Nutzen Angreifer die Lücken aus, sollen sie unter anderem Zugriff auf eigentlich abgeschottete Informationen bekommen können. Auch das Umgehen von Sicherheitsmechanismen und das Erschleichen von höheren Nutzerrechten ist möglich.

Microsoft stellt Informationen über die gepatchten Sicherheitslücken im Security Update Guide bereit. Allerdings ist die Auflistung alles andere als übersichtlich. Eine viel besser aufbereitete Liste findet sich zum Beispiel im Patchday-Blog-Artikel von Cisco Talos.
(des)

Integriert von Heise Security – www.heisec.de

%d Bloggern gefällt das: