Microsoft schließt auch im August kritische Lücken in IE, Edge und Windows

Microsoft hat an seinem August-Patchday neun Sicherheitsupdates veröffentlicht, die insgesamt 34 Schwachstellen beseitigen. Als kritisch stuft das Unternehmen Anfälligkeiten in Internet Explorer, Edge und der Microsoft-Grafikkomponente ein. Davon betroffen sind Windows Vista, 7, 8.1, RT 8.1, 10, Server 2008 und Server 2012. Ein Angreifer kann unter Umständen Schadcode einschleusen und ausführen.

In Internet Explorer 9, 10 und 11 stecken insgesamt neun sicherheitsrelevante Fehler. Sie lassen sich unter anderem durch speziell gestaltete Websites ausnutzen – ein Hacker muss sein Opfer nur dazu bringen, eine solche Seite mit dem Microsoft-Browser zu öffnen. Allerdings erhält ein Angreifer nur die Rechte des angemeldeten Nutzers. Um die die vollständige Kontrolle über ein betroffenes System zu erhalten, werden Administratorrechte benötigt, die ein Standardnutzerkonto nicht hat. Gleiches gilt auch für die acht Löcher, die das Update MS16-096 in Edge stopft.

Die drei Bugs in der Microsoft-Grafikkomponente betreffen nicht nur alle unterstützten Windows-Versionen, sondern auch Office 2007 und 2010 sowie Skype for Business 2016, Microsoft Lync 2013 und Lync 2010. Neben präparierten Websites können dem Bulletin MS16-097 zufolge auch speziell entworfene Dokumente, die ein Benutzer öffnet, eine Remotecodeausführung auslösen.

Von den restlichen 14 Anfälligkeiten geht ein hohes Risiko aus. Vier Schwachstellen in den Windows-Kernelmodustreibern erlauben es einem Angreifer unter Umständen, durch eine nicht autorisierte Erhöhung von Benutzerrechten die vollständige Kontrolle über ein System zu übernehmen. Darüber hinaus patcht Microsoft fünf Lücken in Office 2007, 2010, 2013, 2013 RT und 2016, Office für Mac 2011, Office 2016 für Mac und Word Viewer. Sie führen möglicherweise zu einer Offenlegung persönlicher Informationen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Das Update MS16-100 soll die Umgehung von Sicherheitsfunktionen beim sicheren Start verhindern. Außerdem sind die Authentifizierungsmethoden Kerberos und NetLogon fehlerhaft. Weitere Updates stehen für den ActiveSyncProvider von Windows 10 und die Windows-PDF-Bibliothek für Windows 8.1, 10 und Server 2012 zur Verfügung.

Microsoft verteilt die Patches über die Windows-Update-Funktion. Nutzer von Windows 10 erhalten zudem ein kumulatives Update, das auch nicht sicherheitsrelevante Fehler beseitigt. Es steht für Windows 10 Version 1607 (Anniversary Update), Windows 10 Version 1511 (November-Update) und das ursprüngliche Release Windows 10 Version 1507 zur Verfügung. Darüber hinaus erhalten alle Windows Insider das Build 14393.67, und zwar für Desktops und Smartphones.

Besitzer von Windows Phones, die nicht am Insider-Programm teilnehmen, gehen derzeit noch leer aus. Sie können weder ein kumulatives Update für das aktuelle Build 10586.494 noch das Anniversary Update Build 14393.x herunterladen.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago