Microsoft schließt kritische Lücke in allen aktuellen Windows-Versionen

Öffnet der Anwender manipulierte Medieninhalte, kann ein Angreifer dessen Benutzerrechte erlangen und Schadcode aus der Ferne ausführen. Insgesamt veröffentlicht Microsoft zum März-Patchday 13 Sicherheitsupdates, von denen es fünf als "kritisch" einstuft. Sie beseitigen auch Fehler in Office, IE, Edge und .NET Framework.

Microsoft hat an seinem Patch-Dienstag im März 13 Sicherheitsupdates veröffentlicht. Sie beheben insgesamt knapp 40 Schwachstellen in Windows, Office, Office-Dienste und Web-Apps, Internet Explorer, Edge sowie .NET Framework. Fünf Aktualisierungen werden als kritisch eingestuft, da sie Remotecodeausführung ermöglichen. Die übrigen acht Bulletins sind mit dem Schweregrad „hoch“ versehen. Sie erlauben laut Microsoft Rechteerweiterung, das Umgehen von Sicherheitsfunktionen und ebenfalls das Ausführen von Schadcode aus der Ferne.

(Bild: Shutterstock)Das Update MS16-027 stopft ein kritisches Leck in allen Windows-Versionen von 7 bis 10, einschließlich Server 2008 R2, Server 2012 und 2012 R2 sowie Windows RT 8.1. Öffnet der Anwender manipulierte Medieninhalte, die auf einer Website gehostet werden, kann ein Angreifer dessen Benutzerrechte und damit die vollständige Kontrolle über das System erlangen, um Schadcode aus der Ferne auszuführen. Laut Microsoft sind Benutzer mit Konten, die über weniger Systemrechte verfügen, davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten. Das Update korrigiert, wie Windows Ressourcen in der Medienbibliothek verarbeitet.

Glücklicherweise wurde diese Lücke Microsoft zufolge vertraulich gemeldet. Es sei kein Exploit bekannt, der sie bereits in freier Wildbahn ausgenutzt habe.

Der zweite wichtige Patch MS16-023 beseitigt als kumulatives Sicherheitsupdate für Internet Explorer gleich 13 Speicherfehlerlücken. Betroffen sind die Versionen 9 bis 11 des Microsoft-Browsers. Für IE9 und IE11 auf Client-Systemen wird das Update als „kritisch“ eingestuft, für alle Ausgaben auf Windows-Servern als „mittel“. Um die Schwachstellen auszunutzen, muss ein Angreifer den Nutzer nur dazu bringen, eine manipulierte Website zu öffnen. Im Anschluss könnte er aus der Ferne Programme installieren, Daten auslesen, ändern oder löschen sowie neue Benutzerkonten mit Vollzugriffsrechten erstellen.

Das dritte kritische Bulletin MS16-024 korrigiert als kumulatives Update Fehler im Windows-10-Browser Edge. Die schwerwiegensten können auch hier Remotecodeausführung ermöglichen, wenn der Anwender eine mit Schadcode versehene Website aufruft. Das Update ändert, wie Edge Objekte im Arbeitsspeicher und die Richtlinie für URL-Referenzen behandelt.

Bei MS16-026 handelt es sich um ein Sicherheitsupdate für Grafikschriften in allen unterstützten Windows-Editionen. Um die damit geschlossene Lücke zur Remotecodeausführung auszunutzen, müssen Angreifer den Nutzer dazu verleiten, ein manipuliertes Dokument zu öffnen oder eine Webseite zu besuchen, in das beziehungsweise in die OpenType-Schriftarten eingebettet sind. Dia Aktualisierung korrigiert, wie die Windows-Adobe-Type-Manager-Bibliothek OpenType-Schriftarten verarbeitet.

WEBINAR

Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern

Das Webinar “Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern” informiert Sie über die Vorteile von Virtualisierung und skizziert die technischen Grundlagen, die für eine erfolgreiche Implementierung nötig sind. Jetzt registrieren und Aufzeichnung ansehen.

Das fünfte kritische Update MS16-028 behebt eine Anfälligkeit in der Windows-PDF-Bibliothek. Ein Angreifer der diese erfolgreich ausnutzt, indem er den Anwender dazu bringt, eine speziell gestaltete PDF-Datei zu öffnen, kann im Sicherheitskontext des aktuellen Benutzers beliebigen Code ausführen. Für Windows 8.1, Server 2012, Server 2012 R2 und Windows 10 wird die Lücke als „kritisch“ eingestuft.

Die restlichen Updates beheben weniger gravierende Sicherheitsprobleme, beispielsweise im Zusammenhang mit dem Laden von Windows-Bibliotheken (MS16-025), Windows OLE (MS16-030), dem sekundären Anmeldedienst (MS16-032), dem USB-Massenspeicher-Klassentreiber von Windows (MS16-033) und dem Windows-Kernelmodustreiber (MS16-034). Neben den 13 Patches stellt Microsoft wie üblich auch eine aktualisierte Version seines „Windows-Tool zum Entfernen bösartiger Software“ bereit. Das Programm erkennt und löscht eine Auswahl gängiger Malware, die sich im System eingenistet hat.

Anwender sollten vor allem die kritischen Updates schnellstmöglich installieren, falls sie nicht ohnehin die automatische Aktualisierung unter Windows nutzen. Die Patches können direkt über die jeweiligen Bulletins oder Microsoft Update beziehungsweise Windows Update bezogen werden.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Edge, Internet Explorer, Microsoft, Microsoft Office, Security, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Microsoft schließt kritische Lücke in allen aktuellen Windows-Versionen

Kommentar hinzufügen
  • Am 11. März 2016 um 13:02 von C

    Hmmmm….

    Man hört von Berichten, dass MS nun Sicherheits-Patches für Win-7 zur Win-10 Werbung missbraucht – und auch, dass diese nicht de-installierbar sein sollen.
    Ein falscher Klick – und das Win-10 ist auf dem Rechner, auch wenn dieser dafür nicht geeignet ist.

    Wie tief ist eigentlich MS unter Mr. Nadella gesunken?

    MS möchte wohl unbedingt seine Kunden noch schneller los werden?
    Und dann macht noch MS in Switch-OS, basierend auf Linux, wo man nicht mal ein vernünftiges, sicheres Desktop-OS hinkriegt.

    Bill G. – Deine Firma & Dein Lebenswerk sind m. E. n. in Gefahr. Die Management-Trottel fahren die Kiste jetzt noch schneller an die Wand…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *