Microsoft Patchday August 2016

Embedded Fonts, Office und PDF-Bibliothek als Einfallstor

| Autor: Stephan Augsten

Im August 2016 werden Office und diverse Komponenten zur Dokumentbetrachtung von kritischen Schwachstellen befreit.
Im August 2016 werden Office und diverse Komponenten zur Dokumentbetrachtung von kritischen Schwachstellen befreit. (Bild: Archiv)

Fünf kritische Security Bulletins beschließen den achten Microsoft Patchday 2016. Neben Edge-Browser und Internet Explorer bereiten Dokumentbibliotheken und eingebettete Schriftarten, wie sie von Windows, Office, Skype und Lync genutzt werden, große Probleme.

Eingebettete Schriftarten sorgen aktuell für schwerwiegende Anfälligkeiten in der Microsoft Graphics Component. Öffnet ein Anwender eine speziell darauf ausgelegte Webseite oder ein manipuliertes Dokument, ermöglicht er damit einem externen Angreifer das Ausführen von Code (Remote Code Execution, RCE).

Die kritischen Schwachstellen sollen mit dem Security Bulletin MS16-097 ausradiert werden, indem beim Handling der Embedded Fonts nachgearbeitet wird. Betroffen sind neben allen unterstützten Windows-Versionen auch Microsoft Office 2007 und 2010, Skype for Business 2016, Microsoft Lync 2013 und 2010 sowie die Microsoft Live Meeting 2007 Console.

Nutzer anderer Office-Pakete sehen sich aktuell aber ebenfalls mit RCE-Schwachstellen konfrontiert. Diese werden mit dem Patch MS16-099 aus der Welt geschafft. Hier ist es die Behandlung von Objekten im Speicher, die Probleme verursacht. Zu den bereits genannten Office-Editionen gesellen sich in diesem Fall Office 2013 und 2013 RT, Office 2016, die Mac-Editionen der Jahre 2011 und 2016 sowie Unterkomponenten wie OneNote und Microsoft Word Viewer.

Die eingangs erwähnte Sicherheitslücke in der PDF-Bibliothek von Windows kann ebenfalls zur Remote Code Execution führen. Dabei ist es egal, ob der Anwender ein speziell für den Angriff erstelltes PDF-Dokument online oder lokal öffnet, da auch hier die Behandlung von Arbeitsspeicherobjekten fehlerhaft ist. Im Security Bulletin MS16-102 werden alle Releases von Windows 10, Windows 8.1 und RT 8.1, sowie Windows Server 2012 und 2012 R2 als besonders gefährdet ausgewiesen.

Für die beiden Microsoft-Browser werden wieder kumulative Update-Pakete bereitgestellt, die ebenfalls bei der Speicherobjekt-Behandlung nacharbeiten. Im Falle des Internet Explorer sind die Versionen 9, 10 und 11 anfällig, die Korrekturen werden mit der Aktualisierung MS16-095 bereitgestellt. Der mit Windows 10 eingeführte Webseiten-Betrachter Edge inklusive der Chakra JavaScript scripting engine wird mit dem Update MS16-096 repariert.

Die übrigen vier Security Bulletins sollen allesamt Sicherheitslücken mit der Risikobewertung „hoch“ schließen. So behebt das Update MS16-098 Anfälligkeiten, die eine Evelation of Privilege (Anhebung der Benutzerrechte) begünstigen können, Hierfür müsste sich ein Angreifer allerdings an einem betroffenen System anmelden und eine speziell zu diesem Zweck entworfene Anwendung ausführen.

Hinter der Kennung MS16-100 verbirgt sich eine Aktualisierung für den sicheren Start, der sich durch die Installation einer speziellen Richtlinie aushebeln lässt. Der Patch MS16-101 legt Hand an die Windows-Authentifizierungsmethoden. Hier kann es zu Rechteerweiterungen kommen, wenn ein Angreifer eine speziell gestaltete Anwendung auf einem in einer Domäne eingebundenen System ausführt. Mit dem Sicherheitsbulletin MS16-103 will Microsoft unterbinden, dass über den ActiveSyncProvider von Universal Outlook sensible Informationen offengelegt werden (Information Disclosure).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44212067 / Schwachstellen-Management)