Patchday November: Excel-Lücke sorgt für Diskussionen

Die Sicherheitspatches

Über Windows Update stehen Sicherheitspatches  bereit für:

• .NET Core
• ASP.NET
• Chakra Core
• Edge
• Internet Explorer
• Office
• Windows

Insgesamt werden 53 Sicherheitsupdates ausgeführt.  Davon sind

• 20 Lücken „kritisch“
• 31 Lücken „wichtig“
• 3 Lücken „moderat“

Vier Sicherheitslücken sollen bereits publik sein – Angriffe gibt es Microsoft zufolge derzeit aber nicht.

Die „kritischen“ Schwachstellen

Als kritisch gelten Schwachstellen in Edge, Internet Explorer und Scripting Engine. Bedingt durch Speicherfehler können Angreifer Schadcode einbringen und ausführen.

Bei den Webbrowsern soll der Besuch einer präparierten Webseite einen erfolgreichen Angriff einleiten. Dieses Angriffsszenario soll auch bei der Scripting Engine funktionieren.

Die „wichtigen“ Schwachstellen

Werden die „wichtigen“ Schwachstellen durch Angreifer ausgenutzt, sollen sie etwa über Edge und Internet Explorer und Windows Kernel Informationen von Computern kopieren können.

Sicherheitsforscher sehen Lücken kritischer

Dazu heißt es, dass aufgrund eines Fehlers die Makro-Funktion in Excel nicht verlässlich deaktiviert ist. Wenn Angreifer Opfern eine Tabelle mit Makros unterschieben und sie dazu bringen diese zu öffnen, soll Excel die Makros nicht blocken. Über Makros gelangen vor allem Erpressungstrojaner auf Computer. Microsoft stuft den entsprechenden Patch als "wichtig" ein. Diverse Sicherheitsforscher sehen das als gefährlicher an.

Das betrifft auch eine Lücke im Device Guard. Sicherheitsforscher meinen, dass Hacker die Schwachstelle ausnutzen könnten, um dem Device Guard auszutricksen, einer unsignierte Datei zu vertrauen.

Sicherheitsupdate für Adobes Flash

Microsoft stellt zudem das aktuelle Sicherheitsupdate für Adobes Flash bereit. Edge und der Internet Explorer 11 für Windows 8.1 und 10 bekommen das Update automatisch.