Updates für kritische Sicherheitslücken

Microsoft Patch Day schließt 14 Schwachstellen

| Autor / Redakteur: Moritz Jäger / Andreas Donner

Der Patch Day im Novmeber schließt vierzehn Sicherheitslücken, sieben davon sind kritisch, die Anderen werden als "hoch" eingestuft.
Der Patch Day im Novmeber schließt vierzehn Sicherheitslücken, sieben davon sind kritisch, die Anderen werden als "hoch" eingestuft. (Bild: geralt - Pixabay / CC0)

Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. Dieser regelmäßige Zyklus soll vor allem Firmen bei der Planung helfen. Diesmal veröffentlicht das Unternehmen 14 Updates für Windows, Office und den SQL-Server, die geschlossenen Lücken sind als "kritisch" und "hoch" eingestuft.

IT-Verantwortliche sollten möglichst schnell die Updates für Windows, Office und SQL-Server installieren, die im Rahmen des monatlichen Patch Days veröffentlicht wurden. Die vierzehn Updates schließen als kritisch und hoch eingestufte Schwachstellen, über die Angreifer Code ausführen oder sich selbst mehr Rechte verschaffen können.

Eins der Updates schließt eine hochkritische Lücke in Flash, die Google bereits letzte Woche bekannt machte. Die Veröffentlichung hatte für Unruhe gesorgt, Google wurde vorgeworfen, dass sie nicht auf andere Hersteller gewartet und Nutzer so in Gefahr gebracht hätten. Adobe hatte zwar schnell reagiert und ein eigenes Update ausgerollt, laut Microsoft waren Nutzer dennoch unnötigem Risiko ausgesetzt.

Das ist nicht die einzige Lücke, die auf den Brwowser zielt. Das Update schließt eine Lücke in Edge und dem Internet Explorer, bei dem über eine speziell gestaltete Webseite Code eingeschleust und ausgeführt werden kann. Das läuft jeweils im Rechtekontext des aktuellen Nutzers, die Gefahr für einen Administrator ist also höher als für einen Nutzer mit wenig Rechten.

Zudem ist eine klassische "Klick das Dokument um den PC zu infizieren"-Schwachstelle zurück, die der passende Patch für Office schließt. Öffnet der Nutzer ein angepasstes und manipuliertes Dokument, kann der Angreifer ebenfalls Code ausführen, auch hier ist er nur durch die Rechte des aktuell angemeldeten Nutzers begrenzt.

Zwei der Patches kümmern sich um Fehler in Komponenten zur Video- und Grafikverarbeitung. Werden Videos im Microsoft-Videosteuerung Objekt im Speicher nicht ordentlich verarbeitet, können Angreifer darüber beliebigen Code ausführen. Der Nutzer muss dazu eine manipulierte Videodatei ausführen. Ein ähnliches Problem existiert in der Grafikkomponente. Verarbeitet der Windows Animation Manager einzelne Objekte nicht richtig, lässt sich auch dies zum Ausführen von Code nutzen. Hier reihct es, wenn der Nutzer eine bösartige Webseite besucht.

Details zu diesen und allen anderen Updates hat Microsoft auf der Seite zum November Patch Day veröffentlicht. Die Updates selbst werden wie gehabt automatisch an Endsysteme ausgerollt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44369812 / Schwachstellen-Management)