Am September-Patchday hat Microsoft Sicherheitsupdates für 62 Schwachstellen veröffentlicht, von denen 17 als kritisch eingestuft wurden. Behoben werden soll damit auch eine Zero-Day-Lücke, die Ende August auf Twitter enthüllt wurde.
In diesem Monat verfügbare Patches betreffen Produkte wie Microsoft Windows, die Browser Edge und Internet Explorer, ASP.NET, das .NET Framework, die ChakraCore-Komponente von Edge und wie immer den Adobe Flash Player. Die Patches sollen weiterhin Sicherheitslöcher in Microsoft.Data.OData, Microsoft Office, Microsoft-Office-Services und Web-Apps schließen.
Der wichtigste Fix gilt der Zero-Day-Schwachstelle, die als CVE-2018-8440 erfasst wurde. Diese betrifft die im Windows-Kernel integrierte Kommunikations-Schnittstelle Advanced Local Procedure Call (ALPC). Dank der Schwachstelle können Angreifer über den Task-Scheduler die Rechte von lokalen Benutzern erhöhen und sich so die vollständige Kontrolle über das System verschaffen.
Nach der Twitter-Veröffentlichung wurde Ende August bestätigt, dass der Fehler auch „in einem vollständig gepatchten 64-Bit-Windows 10-System funktioniert“. Wenige Tage später wurde von der aktiven Malware-Kampagne einer als PowerPool bekannten Gruppe berichtet, die das Sicherheitsloch für ihre kriminellen Zwecke nutzte.
Die Patch-Sammlung dieses Monats gilt noch drei weiteren Sicherheitsfehlern, über die schon zuvor Einzelheiten öffentlich wurden, die laut Microsoft aber noch keine Angriffe zur Folge hatten. CVE-2018-8409 könnte DoS-Attacken erlauben. Bei der kritischen Schwachstelle CVE-2018-8457 geht es um Speicherkorruption im Zusammenhang mit der Scripting Engine. CVE-2018-8475 könnte Remotecodeausführung ermöglichen und ist ebenfalls als kritisch eingestuft.
Microsoft hat gleichzeitig mehr darüber enthüllt, wie es intern mit eingehenden Fehlermeldungen umgeht. Zwei finale Dokumente des Microsoft Security Response Center (MSRC) beschreiben die Verfahrensweisen, mit denen die Mitarbeiter Sicherheitsfehler priorisieren und klassifizieren.
[mit Material von Catalin Cimpanu, ZDNet.com]
PDF-Bearbeitungssoftware jetzt im Black Friday Sale mit 50 Prozent Rabatt!
ISG untersucht deutschen Workplace-Services-Markt. Digital Employee Experience (DEX) gilt als Schlüssel für neues Wachstum.
Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…
Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…
Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…
Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.
