Microsoft schließt kritische Lücken in Windows, Internet Explorer und Edge

Microsoft hat an seinem Februar-Patchday insgesamt 13 Sicherheitsupdates veröffentlicht. Sie schließen unter anderen kritische Lücken in den Browsern Internet Explorer und Edge, den Office-Anwendungen sowie allen Windows-Versionen. Weitere Anfälligkeiten beseitigt das Unternehmen in Office und .NET Framework.

Die Patches MS16-009 und MS16-011 beheben 13 Fehler in Internet Explorer 9, 10 und 11 sowie 6 weitere Bugs in Edge. Angreifer könnten sie benutzen, um Schadcode einzuschleusen und auszuführen. Ihr Opfer müssten sie dazu lediglich zum Besuch einer speziell gestalteten Website verleiten. Die vollständige Kontrolle über ein System erlangt ein Hacker allerdings nur, wenn der Nutzer mit administrativen Rechten angemeldet ist.

Zwei weitere kritische Lücken stecken in der Windows-PDF-Bibliothek unter Windows 8.1, Server 2012 und 2012 R2 sowie Windows 10. Unter Umständen verarbeitet die PDF-Bibliothek bestimmte API-Aufrufe fehlerhaft, was wiederum eine Remotecodeausführung erlaubt. Für Windows Vista, Server 2008, 7, Server 2008 R2, 8.1, Server 2012 und 2012 R2 und Windows 10 steht der Patch MS16-013 zur Verfügung. Er stopft ein kritisches Loch im Windows-Journal. Auch hier sind Benutzer mit Konten, die über weniger Systemrechte verfügen, möglicherweise weniger betroffen als Nutzer mit Administratorrechten.

Als kritisch bewertet Microsoft auch drei von sechs Schwachstellen in Office sowie Word und Excel 2007, 2010, 2013, 2013 RT und 2016 sowie Excel und Word für Mac 2011 und 2016. Das Update MS16-015 korrigiert aber auch einen Fehler in SharePoint, der die Erstellung siteübergreifender Skripte erlaubt. Ein Angreifer könnte unter Umständen „Inhalte lesen, für die er keine Leseberechtigung besitzt, die Identität des Opfers verwenden und schädlichen Inhalt in den Browser des Opfers injizieren“, teilt Microsoft mit.

Von den Lücken, die die weiteren sieben Updates schließen sollen, geht laut Microsoft ein hohes Risiko aus. Darunter sind Anfälligkeiten in allen unterstützten Windows-Versionen sowie den Komponenten Winsock, Remote-Desktop-Protokoll, Kernelmodustreibern, Active Directory und NPS-Radius-Server. Sie sollen unter anderem Denial-of-Service-Angriffe sowie eine nicht autorisierte Ausweitung von Benutzerrechten ermöglichen. Das Update MS16-019 für .NET Framework 2, 3.5.1, 4.5.2 und 4.6.x stopft schließlich zwei Löcher, die Denial-of-Service erlauben oder zur Offenlegung persönlicher Informationen führen können.

Für Windows 10 steht zudem ein kumulatives Update zur Verfügung. Es bringt das Build 10586.104. Neu ist auch, dass Microsoft auf seiner Website ausführliche Versionshinweise veröffentlicht – bisher hatte das Unternehmen keine Angaben zu nicht sicherheitsrelevanten Verbesserungen oder Korrekturen der kumulativen Patches gemacht.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.