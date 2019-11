Microsoft hat sein monatliches Sicherheitsupdate für Windows ausgerollt und stopft damit insgesamt 74 Sicherheitslücken – 13 davon stuft der Konzern als kritisch ein. Eine besonders schwerwiegende Lücke wurde diesmal im Internet Explorer ausfindig gemacht und behoben.

Das Leck befand sich in der Skript-Engine des Browsers. Bei einem Angriff hätten Hacker die Möglichkeit gehabt, den Speicher derart zu manipulieren, dass sie dieselben Rechte wie die des aktiven Nutzers erlangt hätten. Besonders problematisch ist dies, wenn der Anwender als Administrator angemeldet ist. So hätten Angreifer zum Beispiel die Möglichkeit, beliebigen Code auszuführen, das System des Opfers komplett zu übernehmen oder auch beliebige Software auf dem Gerät zu installieren. Um den Kriminellen ins Netz zu gehen, müsste der Nutzer lediglich eine speziell präparierte Webseite besuchen. Das Schliessen der Schwachstelle war unter anderem deshalb so dringend, weil sie bereits aktiv ausgenutzt wurde, wie Microsoft in einer Sicherheitswarnung mitteilt (Englisch).

Kritische Lücke in Hyper-V entdeckt

Neben dem Internet Explorer wurde eine weitere kritische Sicherheitslücke in Hyper-V identifiziert. Ein Fehler hätte hier dazu führen können, Angreifer Schadcode im Hosts-System ausführen zu lassen. Weitere kritische Schwachstellen befanden sich in Microsoft Exchange und im Edge-Browser.

Neben den 13 kritischen Schwachstellen stuften die Redmonder alle anderen Lecks mit der Gefahrenstufe «hoch» ein. Diese hätten Hacker unter anderem dazu befähigt, erweitere Rechte in Windows zu erlangen. Allerdings war es zur Ausnutzung erforderlich, bereits am System angemeldet zu sein. Gefunden hatten Experten die Lücken in unterschiedlichen Versionen des Microsoft-Betriebssystems.

Das Update wird automatisch an die Nutzer verteilt und sollte möglichst zeitnah installiert werden. Neben der bereits ausgenutzten Lücke im Internet Explorer, haben Kriminelle nun eine genaue Auflistung aller möglichen Angriffspunkte.