Microsoft schließt erneut kritische Lücke in allen Windows-Versionen

Microsoft hat an seinem April-Patchday insgesamt 13 Security Bulletins veröffentlicht. Sie enthalten Details zu 31 Sicherheitslücken in Windows und Office. Darunter ist eine als kritisch eingestufte Anfälligkeit in der Microsoft-Grafikkomponente Win32k (MS16-039), die in allen unterstützten Windows-Versionen von Vista bis Windows 10 steckt. Ein Angreifer könnte mithilfe einer in ein Dokument oder eine Website eingebettete OpenType-Schriftartendatei Schadcode einschleusen und ausführen. Davon betroffen sind auch .NET Framework, Skype for Business 2016, Lync 2013 und Lync 2010 sowie Office 2007 und 2010.

Ebenfalls als kritisch bewertet Microsoft Schwachstellen in Internet Explorer 9, 10 und 11, Edge, den Microsoft XML Core Services, Excel und Word 2007, Office 2010, Excel und Word 2013 und 2013 RT, Excel und Word 2016, Word für Mac 2011, Word 2016 für Mac sowie das Office Compatibility Pack und Word Viewer und Excel Viewer. Auch hier ist eine Remotecodeausführung möglich, wenn ein Nutzer beispielsweise ein speziell gestaltetes Office-Dokument oder eine präparierte Website öffnet.

Von weiteren Anfälligkeiten in HTTP.sys, CSRSS, Windows Hyper-V, Windows OLE und .NET Framework geht ein hohes Risiko aus. Die jetzt veröffentlichten Updates sollen unter anderem Denial-of-Service-Angriffe, das Umgehen von Sicherheitsfunktionen, eine nicht autorisierte Erhöhung von Berechtigungen und das Ausführen von Schadcode verhindern.

Der Patch MS16-047 stopft wiederum ein Loch im Samba-Protokoll. Auch er steht für alle unterstützten Windows-Versionen zur Verfügung. Die Badlock genannte Schwachstelle war schon vor rund drei Wochen bekannt geworden. Entdeckt hatte sie ein deutscher Samba-Entwickler, ohne jedoch irgendwelche Details zum Schweregrad der Anfälligkeit zu nennen. Die Vorankündigung hatte zum Teil für heftige Kritik gesorgt, weil der Fehler in Code steckt, den der Entwickler selbst geschrieben haben soll.

„Das ist sicherlich ein Grund zur Sorge und Administratoren sollten ihre Systeme so schnell wie möglich patchen. Ich kann allerdings nicht sagen, dass diese Anfälligkeit einen Schweregrad erreicht, der die Aufmerksamkeit verdient, die Badlock durch eine speziell eingerichtete Website und eine Vorlaufzeit von drei Wochen erhalten hat“, kommentiert nun Karl Sigler, Threat Intelligence Manager des Sicherheitsanbieters Trustwave.

Ein dreizehntes Bulletin beschäftigt sich indes erstmals separat mit einem Sicherheitsupdate für Adobes Flash Player, den Microsoft in seine Browser Internet Explorer 10 und 11 sowie Edge unter Windows 8.1 und RT 8.1, Server 2012 und Server 2012 R2 sowie Windows 10 integriert hat. Adobe verteilt die neue Flash-Player-Version, die unter anderem eine Zero-Day-Lücke schließt, allerdings schon seit vergangener Woche.

Anwender sollten vor allem die kritischen Updates schnellstmöglich installieren, falls sie nicht ohnehin die automatische Aktualisierung unter Windows nutzen. Die Patches können direkt über die jeweiligen Bulletins oder Microsoft Update beziehungsweise Windows Update bezogen werden.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.