Am September-Patchday hat Microsoft zahlreiche Fixes für Sicherheitslücken bereitgestellt, die in 14 Sicherheits-Bulletins beschrieben werden. Zehn kritische Schwachstellen ermöglichen Remotecodeausführung, wenn sie nicht behoben werden, warnt das Unternehmen. Weitere schwerwiegende Fehler erlauben Angreifern, sich erhöhte Benutzerrechte zu verschaffen.
Es handelt sich um den letzten herkömmlichen Patchday, bevor Microsoft auf monatliche Patch-Rollups umstellt. Ab dem Oktober-Patchday wird Microsoft dann auch bei Windows 7 und 8.1 alle Sicherheitsupdates sowie nicht sicherheitsrelevanten Aktualisierungen zu einem Rollup-Update zusammenfassen. Die Änderung soll auch für Windows Server 2008 R2, Server 2012 und Server 2012 R2 gelten. Das Rollup-Update enthält dann künftig, wie auch die kumulativen Updates für Windows 10, alle zuvor veröffentlichten Patches.
Die September-Patches beheben unter anderem Probleme in Microsoft Windows, Office, Office Service, Web-Apps und Exchange. Augenfällig betroffen sind auch die Browser Internet Explorer und Edge sowie Adobe Flash Player. Mit CVR-2016-0137 wird außerdem eine seit zehn Jahren bestehende Lücke geschlossen, die Sicherheitsforscher vor neun Monaten an Microsoft meldeten. Sie warnten dabei davor, dass Hunderttausende Nutzer betroffen sein könnten.
Ein kumulatives und als kritisch eingestuftes Sicherheitupdate dient dazu, Sicherheitsanfälligkeiten im Edge-Browser zu beheben. Die gefährlichste erlaubt die Ausführung von Remotecode, wenn mit Edge eine bösartig präparierte Webseite dargestellt wird. Dabei könnte ein Angreifer die gleichen Benutzerrechte erlangen wie der aktuelle Benutzer.
Auch dem Internet Explorer gilt ein kumulatives Sicherheitsupdate, das ähnlich schwerwiegende Anfälligkeiten beheben soll. Es ist als kritisch eingestuft für IE 9, IE 10 und IE 11 auf Windows-Clients, während Serverbetriebssysteme nur einer mittleren Gefährdung ausgesetzt sind. Die verschiedenen betroffenen Windows-Versionen führt Microsoft im Sicherheitsbulletin MS16-104 auf.
Ein weiteres kritisches Update behebt einen Fehler in Microsoft Silverlight. Dieser könnte ebenfalls Remotecodeausführung erlauben, wenn ein Nutzer eine kompromittierte Website mit einer eigens präparierten Silverlight-Anwendung besucht. Microsoft empfiehlt das Update dringend nicht nur für alle unterstützten Windows-Versionen, sondern auch für Silverlight 5 und Silverlight 5 Developer Runtime, wenn sie auf einem Mac laufen.
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
