Microsoft patcht Zero-Day-Lücken in Edge, IE und Office

Microsoft hat mit seiner Sicherheitsaktualisierung für Oktober Dutzende Schwachstellen geschlossen. Darunter waren fünf kritische Lücken in den Browsern Edge und Internet Explorer sowie Office, die bereits ausgenutzt wurden, auch wenn sie öffentlich nicht bekannt waren.

Insgesamt gab das Unternehmen zehn Security Bulletins zu 49 Schwachstellen heraus. Sie betreffen neben Office und den Browsern auch Adobe Flash Player, Skype for Business und Windows selbst.

Die Zero-Day-Lücke des Internet Explorer, CVE-2016-3298, findet sich in zwei der Bulletin genannten Hinweise. Sie würde es Microsoft zufolge einem Angreifer ermöglichen, aus der Ferne zu prüfen, ob bestimmte Dateien auf einem Speichermedium existieren. Dazu müsste das Opfer auf eine präparierte Website gelockt werden.

In Office steckt ein unter dem Kürzel CVE-2016-7193 vermerktes Speicherleck. Sollte der aktuelle Nutzer Administratorrechte haben, könnte der Angreifer die Kontrolle über das System übernehmen. Eine Infektion ist durch einen Dateianhang oder eine Website möglich.

Eine aus der Ferne nutzbare Schwachstelle weist zudem die Windows Graphics Component auf, nämlich CVE-2016-3393. Und bei Edge steckt der Fehler CVE-2016-7189 in der Scripting Engine. Eine präparierte Website könnte ihn nutzen, was einmal mehr unterstreicht, dass man aus unbekannten Quellen zugeschickten Links bestenfalls nach gründlicher Prüfung folgen sollte.

Der Oktober-Patchday bringt erstmals auch die angekündigten monatlichen Patch-Rollups für Windows 7, 8.1, Windows Server 2008 R2, Windows Server 2012 und Server 2012 R2. Microsoft fasst sicherheitsrelevante Fixes zu kumulativen Updates zusammen, die über Windows Update (WU), WSUS, SCCM und den Windows Update Catalog verteilt werden.

Unternehmen stehen drei Varianten zur Verfügung. Das Security-only-Update enthält nur die Sicherheitsfixes des jeweiligen Monats. Es wird nur über die Windows Server Update Services (WSUS) veröffentlicht und ist über den Configuration Manager sowie den Windows Update Catalog erhältlich.

Das auch als Monthly Rollup bezeichnete Security Monthly Quality Update vereinigt die Sicherheitsfixes des aktuellen Monats mit denen der Vormonate. Dieses Update ist für Consumer-PCs gedacht und wird über Windows Update verteilt. Es kann aber auch über die WSUS und den Windows Update Catalog bezogen werden.

Das als Preview Rollup bezeichnete Update schließlich setzt sich aus den Patch-Rollups der Vormonate und einer Preview der nicht sicherheitsrelevanten Fixes zusammen, die für den Folgemonat geplant sind. Dieses Update erscheint jedoch nicht wie gewohnt am zweiten Dienstag des Monats, sondern erst in der Woche danach. Es soll zudem im Lauf der Zeit um ältere Fixes erweitert werden und sich zu einem vollständig kumulativen Update entwickeln, das einen neu installierten PC auf den neuesten Stand bringt. Parallel dazu wird es eigene Rollup-Updates für .NET Framework und Internet Explorer geben.

Administratoren können weiterhin entscheiden, ob sie nur sicherheitsrelevante Updates oder auch nicht sicherheitsrelevante Aktualisierungen einspielen. Zudem haben sie die Möglichkeit, nur bestimmte nicht sicherheitsrelevante Patches auszuwählen.

Die Zusammenfassung der monatlichen Sicherheitspatches zu einheitlichen Rollup-Updates hat möglicherweise einen Nachteil: Administratoren sind nicht mehr in der Lage, im Fall von Problemen einzelne Sicherheitsfixes zu entfernen. Stattdessen müsste künftig abgewogen werden, ob die Probleme die Deinstallation aller Sicherheitspatches des Monats rechtfertigen. Microsoft rät in dem Zusammenhang, die monatlichen Patches nur schrittweise auszurollen: beispielsweise zuerst nur innerhalb der IT-Abteilung, dann in speziellen Nutzergruppen und erst danach im gesamten Unternehmen.

[mit Material von Liam Tung, ZDNet.com]

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago