Microsoft Patchday Juni 2016 Office und Windows Server 2012 dringend patchen

Von Stephan Augsten |

Anbieter zum Thema

Im Rahmen des Juni-Patchday 2016 hat Microsoft fünf kritische Security Bulletins online gestellt. Updates für Windows DNS Server und Office dürften für Unternehmen besonders wichtig werden, nachgereicht wurde zudem ein kumulatives Update für den Internet Explorer.

Updates für Windows werden wie angekündigt nur noch „en bloc“ ausgerollt
Updates für Windows werden wie angekündigt nur noch „en bloc“ ausgerollt
(Bild: Archiv)

Mit dem Security Bulletin MS16-063 hat Microsoft nachträglich ein im Mai übersprungenes Update-Paket für den Internet Explorer (IE) ausgerollt. Kritische Lücken behebt die Aktualisierung im Falle des IE 9 und des IE 11 unter Client-Rechnern, auf Windows-Servern sieht Microsoft ein moderates Risiko.

Im Härtefall kann es auf betroffenen Rechnern dazu kommen, dass ein externer Angreifer Code aus der Ferne ausführt (Remote Code Execution, RCE), wenn das Opfer eine speziell angepasste Webseite mit dem Browser aufruft. Unter anderem justiert der Patch bei der Verarbeitung von Objekten im Speicher und der Proxy-Erkennung nach.

Probleme bereiten auch die in den IE integrierten Skriptsprachen JavaScript, JScript und VBScript. Im Falle der beiden letzteren Script-Engines wird unter der Kennung MS16-069 ein zusätzliches kumulatives Sicherheitsupdate ausgerollt, das RCE-Anfälligkeiten beheben soll.

Der mit Windows 10 eingeführte Edge-Browser bleibt ebenfalls nicht vor RCE-Schwachstellen verschont. Nachgebessert wird in diesem Fall mit dem kritischen Patch MS16-068. Auch hier können speziell angepasste Webseiten Angriffe begünstigen, bei Dokumenten wie PDFs weist der neue Web-Betrachter allerdings ebenfalls Unzulänglichkeiten auf.

Manipulierte Dokumente können aktuell Microsoft Office zum Verhängnis werden. Das Risiko variiert je nach Systemkonfiguration. Ausgerollt wird das entsprechende Sicherheitsupdate MS16-070 jedoch für nahezu alle Office-Lösungen, angefangen bei Office 2007 über Office 2010, 2013 und 2013 RT bis hin zu Office 2016.

Dringend müssen wiederum die Mac-Versionen 2011 und 2016 aktualisiert werden. Immerhin als wichtig gilt das Update für Office Compatibility Packs, Word und Visio Viewer, Office Online Server sowie die 2010er- und 2013er-Versionen von SharePoint Server und Office Web Apps.

Das fünfte kritische Security Bulletin MS16-071 betrifft Unternehmen, die Windows Server 2012 und 2012 R2 als DNS-Server einsetzen. Auch die Windows Server Technical Preview 5 ist betroffen. In diesem Fall ist eine Remote-Code-Ausführung möglich, wenn ein Angreifer besondere Anfragen an den DNS Server sendet. Das Update soll die Verarbeitung von DNS-Anfragen modifizieren und erfordert einen Neustart des Systems.

DoS und potenzielle Rechteanhebung

Wirklich umfassend wird der Juni-Patchday durch elf weitere, als „Important“ klassifizierte Updates. Zwei davon werden eingespielt, um Denial-of-Service-Schwachstellen im Active Directory (MS16-081) und in der Windows-Suche (MS16-082) zu beheben. Weniger kritische RCE-Schwachstellen wurden in Netlogon (MS16-076) und Windows PDF (MS16-080) gefunden. Das Update MS16-079 soll derweil verhindern, dass Microsoft Exchange Server ungewollt Informationen offenlegen.

Sechs Security Bulletins sollen einer unerwünschten Anhebung der Benutzerrechte (Elevation of Privilege) vorgebeugen. Dies betrifft die Gruppenrichtlinien (MS16-072), Kernelmodustreiber (MS16-073), die Microsoft-Grafikkompontenten (MS16-074), den SMB-Server (MS16-075), die Web Proxy Auto Discovery (WPAD, MS16-077) und den Diagnostic Hub (MS16-078).

(ID:44106903)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung