Suchen

Updates für kritische Sicherheitslücken Microsoft Patch Day schließt 14 Schwachstellen

| Autor / Redakteur: Moritz Jäger / Dipl.-Ing. (FH) Andreas Donner

Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. Dieser regelmäßige Zyklus soll vor allem Firmen bei der Planung helfen. Diesmal veröffentlicht das Unternehmen 14 Updates für Windows, Office und den SQL-Server, die geschlossenen Lücken sind als "kritisch" und "hoch" eingestuft.

Der Patch Day im Novmeber schließt vierzehn Sicherheitslücken, sieben davon sind kritisch, die Anderen werden als "hoch" eingestuft.
Der Patch Day im Novmeber schließt vierzehn Sicherheitslücken, sieben davon sind kritisch, die Anderen werden als "hoch" eingestuft.
(Bild: geralt - Pixabay / CC0 )

IT-Verantwortliche sollten möglichst schnell die Updates für Windows, Office und SQL-Server installieren, die im Rahmen des monatlichen Patch Days veröffentlicht wurden. Die vierzehn Updates schließen als kritisch und hoch eingestufte Schwachstellen, über die Angreifer Code ausführen oder sich selbst mehr Rechte verschaffen können.

Eins der Updates schließt eine hochkritische Lücke in Flash, die Google bereits letzte Woche bekannt machte. Die Veröffentlichung hatte für Unruhe gesorgt, Google wurde vorgeworfen, dass sie nicht auf andere Hersteller gewartet und Nutzer so in Gefahr gebracht hätten. Adobe hatte zwar schnell reagiert und ein eigenes Update ausgerollt, laut Microsoft waren Nutzer dennoch unnötigem Risiko ausgesetzt.

Das ist nicht die einzige Lücke, die auf den Brwowser zielt. Das Update schließt eine Lücke in Edge und dem Internet Explorer, bei dem über eine speziell gestaltete Webseite Code eingeschleust und ausgeführt werden kann. Das läuft jeweils im Rechtekontext des aktuellen Nutzers, die Gefahr für einen Administrator ist also höher als für einen Nutzer mit wenig Rechten.

Zudem ist eine klassische "Klick das Dokument um den PC zu infizieren"-Schwachstelle zurück, die der passende Patch für Office schließt. Öffnet der Nutzer ein angepasstes und manipuliertes Dokument, kann der Angreifer ebenfalls Code ausführen, auch hier ist er nur durch die Rechte des aktuell angemeldeten Nutzers begrenzt.

Zwei der Patches kümmern sich um Fehler in Komponenten zur Video- und Grafikverarbeitung. Werden Videos im Microsoft-Videosteuerung Objekt im Speicher nicht ordentlich verarbeitet, können Angreifer darüber beliebigen Code ausführen. Der Nutzer muss dazu eine manipulierte Videodatei ausführen. Ein ähnliches Problem existiert in der Grafikkomponente. Verarbeitet der Windows Animation Manager einzelne Objekte nicht richtig, lässt sich auch dies zum Ausführen von Code nutzen. Hier reihct es, wenn der Nutzer eine bösartige Webseite besucht.

Details zu diesen und allen anderen Updates hat Microsoft auf der Seite zum November Patch Day veröffentlicht. Die Updates selbst werden wie gehabt automatisch an Endsysteme ausgerollt.

(ID:44369812)

Über den Autor

 Moritz Jäger

Moritz Jäger

IT Journalist