News 09.08.2017, 10:25 Uhr

Patchday: Microsoft stopft 48 Sicherheitslücken

Patchen lohnt sich: Das neuste Security-Update enthält 48 virtuelle Heftpflaster für Windows 10. Darunter 27 akut notwendige.
Gleich 48 Sicherheitslücken stopft Microsoft mit seinen Update-Paketen für den Patchday im August. Die Fehler betreffen Windows, den Internet Explorer, Edge, SharePoint, SQL Server und den integrierten Flash Player. Insgesamt 25 der Lücken werden von Microsoft als kritisch eingestuft, wobei sogar 27 zur Ausführung von Schadcode aus der Ferne missbraucht werden können.

Fehler in der Windows-Suche

Wie der Sicherheitsspezialist Qualys in einem Blog-Eintrag zum aktuellen Patchday berichtet, ist ein Fehler im Service der Windows-Suche besonders kritisch. Die Sicherheitslücke erlaubt es Angreifern, aus der Ferne per SMB die komplette Kontrolle über ein System zu übernehmen. Dies umfasst die Installation von Programmen, das Betrachten, Ändern oder Entfernen von Dateien sowie das Erstellen neuer Nutzerkonten mit vollständigen Administratorrechten. Die Lücke soll allerdings nicht direkt in Samba stecken, auch wenn das Protokoll als Angriffsverktor diene. Analogien zu den jüngsten Fehlern in SMB, die von EternalBlue, WannaCry oder Petya genutzt wurden, bestehen demnach nicht. Microsoft weist im Zusammenhang mit diesem Fehler darauf hin, dass bei einer nachträglichen Installation eines Sprachpakets der Patch abermals aufgespielt werden müsse.
Daneben betreffen viele Lücken die Microsoft Scripting Engine, die sowohl in Webbrowsern als auch in Microsoft Office zum Einsatz kommt. Entsprechend wichtig ist der Patch für alle herkömmlichen Desktop- und Workstation-Systeme mit Verbindung zum Internet via Browser oder Mail.
Die Lücken mit den IDs CVE-2017-8620, CVE-2017-8627 und CVE-2017-8633 waren laut Informationen des Portals Bleepingcomputer bereits vor dem Patchday bekannt. Laut Microsoft sollen die Lücken allerdings bislang nicht für Angriffe missbraucht worden sein.
Wie üblich werden die Patches automatisch über Windows Update heruntergeladen und installiert. Wer die automatische Installation deaktiviert hat, muss diese manuell über Windows Update anstossen.



Kommentare
Es sind keine Kommentare vorhanden.