Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.747.680 Produkten

Dennis Schirrmacher 183

Alert Patchday: Kritische Lücken in Edge, Windows & Co.

Patchday: Kritische Lücken in Edge, Windows & Co.

Microsoft veröffentlicht im Dezember insgesamt zwölf Sicherheitsupdates. Im schlimmsten Fall können Angreifer Computer von Opfern durch den bloßen Aufruf einer manipulierten Webseite kapern.

Am letzten Patchday dieses Jahres versorgt Microsoft Nutzer von .Net Framework, Edge, Internet Explorer, Office (macOS und Windows) und Windows (Client und Server) mit zwölf Sicherheitsupdates. Sechs Patches sollten Admins zügig einspielen – Microsoft stuft diese als kritisch ein. Die verbleibenden sechs Sicherheitsupdates sind mit der Priorität "wichtig" versehen.

Anzeige

Die meisten kritischen Schwachstellen klaffen in den Webbrowsern Edge und Internet Explorer und verschiedenen Windows-Versionen. Für eine erfolgreiche Attacke müssen Angreifer Opfer entweder auf eine präparierte Webseite locken oder ihnen eine manipulierte Datei unterjubeln und sie dazu bewegen, diese zu öffnen.

Folglich sollen Angreifer in der Lage sein, Schadcode aus der Ferne mit den Rechten des zum jeweiligen Zeitpunkt angemeldeten Nutzers auszuführen. Ein Übergriff kann weniger verheerend ausfallen, wenn ein Opfer keine Admin-Rechte hat.

Auch Office ist für das beschriebene Angriffsszenario anfällig – in diesem Fall müssen Angreifer Opfern ein speziell vorbereitetes Office-Dokument unterschieben.

Microsoft verweist auf das aktuelle Flash-Update, das unter anderem die kritische Sicherheitslücke mit der Kennung CVE-2016-7892 schließt – die Lücke steht aktuell im Fokus von Angreifern. Dabei haben sie es auf Opfer mit dem Internet Exlorer (32 Bit) unter Windows abgesehen. Der Internet Explorer 11 für Windows 8.1 und 10 bekommt das Flash-Update automatisch.

Die als wichtig eingestuften Sicherheitspatches sind für diverse Windows-Versionen verfügbar. Setzen Angreifer an diesen Lücken an, können sie unter anderem Informationen abziehen und sich höhere Rechte erschleichen. In der Regel müssen Angreifer dafür aber lokalen Zugang zu ins Visier genommenen Computern haben.

Bisher hat Microsoft Informationen zu Sicherheitslücken ausschließlich über die Security-Bulletin-Webseite publiziert. Ab sofort kann man sich auch über den kürzlich gestarteten Security Updates Guide informieren. Dort findet man unter anderem auch die Einstufung des Schweregrades einer Schwachstelle durch den CVSS Score. Zudem soll es möglich sein, über die RESTful-API Update-Informationen automatisch erfassen zu können. Dieser neue Service soll die Security Bulletins nach dem 10. Januar 2017 ersetzen.

Anzeige
(des)

183 Kommentare

Themen:

Anzeige
Anzeige