Erneut Malware-Lücke in Windows gestopft

  • Win10

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Erneut Malware-Lücke in Windows gestopft

    Beim Update-Dienstag im November hat Microsoft 63 Sicherheitslücken beseitigt. Sie betreffen Windows, Internet Explorer, Edge, Office, Dynamics und weitere Software.

    Unter den 63 beim Patch Day in diesem Monat geschlossenen Sicherheitslücken sind 12, die Microsoft als kritisch einstuft. Sie betreffen Windows, Edge und Dynamics 365. Eine Windows-Lücke wird bereits für Malware-Angriffe ausgenutzt, zwei weitere Schwachstellen sind bereits im Vorfeld veröffentlicht worden. Weitere 49 Lücken stuft Microsoft als hohes Risiko ein. Details zu allen Lücken bietet Microsoft zum Selbstsuchen im Security Update Guide .

    Internet Explorer (IE)
    Das neue kumulative Sicherheits-Update (4466536) für den Internet Explorer 9 bis 11 beseitigt in diesem Monat lediglich zwei Schwachstellen im Browser. Beide sind als wichtig eingestuft. Die eine kann es einem Angreifer ermöglichen Code einzuschleusen. Die andere ist ein Datenleck.

    Edge
    Im Browser Edge hat Microsoft im November 11 Lücken gestopft. Acht dieser Lücken stuft Microsoft als kritisch ein. Die Scripting Engine „Chakra“ trägt einmal mehr den Hauptanteil bei. Sie behandelt Speicherobjekte nicht korrekt und ermöglicht es so einem Angreifer Code einzuschleusen und mit Benutzerrechten auszuführen.

    Office
    Für die Office-Familie hält Microsoft im November Updates gegen 15 Sicherheitslücken bereit. Microsoft stuft alle bis auf eine gleichermaßen als wichtig ein. Neun dieser Lücken sind jedoch geeignet, um mittels präparierter Dateien beliebigen Code einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen. Hierdurch betroffen ist vor allem Outlook, aber auch Word, Excel und Project. Hinzu kommen zwei Sharepoint-Lücken, mit denen sich ein Angreifer höhere Rechte verschaffen könnte.

    Windows
    Ein großer Teil der Schwachstellen verteilt sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. Die meisten Lücken betreffen Windows 10 und Windows Server 2016, aber auch der gerade erst vorgestellte Windows Server 2019 ist vertreten, der nun ebenso wie Windows 10 1809 wieder ausgeliefert wird.

    Im Kernel (Win32k) der Windows-Versionen 7, Server 2008 sowie Server 2008 R2 steckt eine Sicherheitslücke mit der Kennung CVE-2018-8450. Die Entdeckung dieser 0-Day-Lücke geht wie im Vormonat auf Kaspersky Lab zurück. Laut Kaspersky nutzen mehrere APT-Gruppen diese Schwachstelle bereits für gezielte Malware-Angriffe. Eingeschleuste Malware kann die Lücke nutzen, um sich die volle Kontrolle über das System zu verschaffen, sofern der schädliche Code durch einen angemeldeten Benutzer ausgeführt wird.

    Zwei weitere Windows-Lücken waren bereits vorab öffentlich bekannt. Eine (CVE-2018-8566) betrifft BitLocker in Windows 10, Server 2016 sowie Server 2019. Ein Angreifer kann unter Umständen die Laufwerksverschlüsselung umgehen, benötigt dazu jedoch physischen Zugriff auf das Gerät. Das Update ist also besonders für mobile Rechner wichtig.

    Dynamics 365
    Lokale Installationen der Unternehmens-Software Dynamics 365 v8 sollten mit den bereitgestellten Updates versehen werden, die fünf Schwachstellen beheben. Eine der Lücken (CVE-2018-8609) stuft Microsoft als kritisch ein. Ein Angreifer könnte diese Lücke ausnutzen, indem er speziell präparierte Web-Anfragen an einen anfälligen Dynamics-Server sendet. Im Erfolgsfall kann er beliebigen Code im Kontext des SQL-Dienstkontos ausführen.

    Exchange
    in diesem Monat schließt Microsoft nur eine Exchange-Lücke. Die Schwachstelle CVE-2018-8581 betrifft Exchange Server 2010, 2013, 2016 und 2019. Ein Angreifer könnte sich erweiterte Berechtigungen verschaffen, indem er die Identität eines anderen Exchange-Benutzer annimmt. Dazu müsste er einen Man-in-the-Middle-Angriff durchführen.

    Flash Player
    Adobes Update für den Flash Player , das Microsoft durchreicht, stopft in diesem Monat nur eine Lücke, ein Datenleck. Die neue Versionsnummer ist 31.0.0.148.

    Schließlich gibt es, wie in jedem Monat, auch im November das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version. Der nächste turnusmäßige Patch Day ist am 11. Dezember.

    Quelle: Erneut Malware-Lücke in Windows gestopft - PC-WELT