Die Sicherheitspatches
Über Windows Update stehen Sicherheitspatches bereit für:
- .NET Core
- ASP.NET
- Chakra Core
- Edge
- Internet Explorer
- Office
- Windows
Insgesamt werden 53 Sicherheitsupdates ausgeführt. Davon sind
- 20 Lücken „kritisch“
- 31 Lücken „wichtig“
- 3 Lücken „moderat“
Vier Sicherheitslücken sollen bereits publik sein – Angriffe gibt es Microsoft zufolge derzeit aber nicht.
Die „kritischen“ Schwachstellen
Als kritisch gelten Schwachstellen in Edge, Internet Explorer und Scripting Engine. Bedingt durch Speicherfehler können Angreifer Schadcode einbringen und ausführen.
Bei den Webbrowsern soll der Besuch einer präparierten Webseite einen erfolgreichen Angriff einleiten. Dieses Angriffsszenario soll auch bei der Scripting Engine funktionieren.
Die „wichtigen“ Schwachstellen
Werden die „wichtigen“ Schwachstellen durch Angreifer ausgenutzt, sollen sie etwa über Edge und Internet Explorer und Windows Kernel Informationen von Computern kopieren können.
Sicherheitsforscher sehen Lücken kritischer
Dazu heißt es, dass aufgrund eines Fehlers die Makro-Funktion in Excel nicht verlässlich deaktiviert ist. Wenn Angreifer Opfern eine Tabelle mit Makros unterschieben und sie dazu bringen diese zu öffnen, soll Excel die Makros nicht blocken. Über Makros gelangen vor allem Erpressungstrojaner auf Computer. Microsoft stuft den entsprechenden Patch als "wichtig" ein. Diverse Sicherheitsforscher sehen das als gefährlicher an.
Das betrifft auch eine Lücke im Device Guard. Sicherheitsforscher meinen, dass Hacker die Schwachstelle ausnutzen könnten, um dem Device Guard auszutricksen, einer unsignierte Datei zu vertrauen.
Sicherheitsupdate für Adobes Flash
Microsoft stellt zudem das aktuelle Sicherheitsupdate für Adobes Flash bereit. Edge und der Internet Explorer 11 für Windows 8.1 und 10 bekommen das Update automatisch.
Infos zum Patchday
Laut heise.de sind die Informationen über die gepatchten Sicherheitslücken, die im Patchday-Blog-Artikel von Trend Micros Zero Day Initiative aufgelistet sind besonders übersichtlich.
Weiterführende Links:
20 Tipps für mehr Sicherheit im Web
heise.de: Patchday: Excel-Lücke spaltet Microsoft und Sicherheitsforscher