Microsoft hat an seinem Patchday dieser Woche elf Update-Pakete verteilt, wovon sechs als kritisch gelten. Angreifer können über alle dieser kritisch eingestuften Lücken aus dem öffentlichen Netz Schadcode auf dem System des Opfers ausführen. Die beiden Browser Edge und Internet Explorer, Microsoft Office, die Druckerwarteschlange des Betriebssystems und die JScript- und VBScript-Engines von Windows sind davon betroffen.

Bei der letzten kritischen Lücke handelt es sich um das Flash-Player-Update von Adobe, das ebenfalls am Dienstagabend veröffentlicht wurde. Ein Update für die Secure-Boot-Komponenten von Windows ist zwar nicht als kritisch eingestuft aber dennoch beachtenswert, da es eine Schwachstelle (CVE-2016-3287) schließt, über die ein Angreifer mit Administrator-Rechten oder lokalem Zugriff auf den Rechner die Sicherheitsüberprüfungen des Boot-Codes umgehen kann. Der Angreifer wäre dann in der Lage, eigenen Schadcode zu laden, der unabhängig vom Betriebssystem ausgeführt wird. Die Sicherheit des Verschlüsselungssystems BitLocker ließe sich außerdem kompromittieren.

Wie üblich finden sich Details zu den Updates auf den TechNet-Seiten von Microsoft. Über Microsoft Update können Windows-Anwender die Sicherheitsupdates wie gewohnt installieren, sofern dies nicht bereits automatisch geschehen ist. Microsoft verteilt die Patches für Windows 10 wie immer als kumulatives Update und behebt dabei auch einige nicht-sicherheitsrelevante Probleme. Microsoft pflegt eine Liste dieser Verbesserungen im Windows-10-Updateverlauf.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE