Microsoft kümmert sich an diesem Patchday um über 60 Sicherheitslücken und stellt Patches für Office und Windows zum Download bereit. Von den 60 Sicherheitslücken sind 17 als kritisch eingestuft. Derzeit nutzen Angreifer eine Windows-Lücke aktiv aus. Wer Software von Microsoft nutzt, sollte sicherstellen, dass der Computer von Windows Update mit Patches versorgt wird, welches in der Standardeinstellung auch automatisch geschieht.

In der Windows-Aufgabenplanung im Interface von Advanced Local Procedure Call (ALPC) findet sich die ausgenutzte Schwachstelle, diese wird von Angreifern weltweit ausgenutzt, um sich höhere Rechte zu erschleichen und Computer zu übernehmen. Allerdings muss ein Angreifer schon bereits Zugriff auf einen Computer haben, damit so ein Übergriff klappt. Nun gibt es ein Sicherheitsupdate für die Lücke mit der Kennung CVE-2018-8440, welches von Microsot aber nicht als "kritisch" sondern nur als "wichtig" eingestuft wird.

Auch in beispielsweise Edge, Office und verschiedenen Windows-Komponenten wie Hyper-V hat Microsoft weitere kritische Lücken geschlossen. Besonders anfällig für Speicherfehler sind Microsofts Webbrowser Edge und Internet Explorer. Der Besuch einer von einem Angreifer vorbereiteten Webseite, damit er Schadcode auf Computern ausführen und diese übernehmen kann, genügt dabei schon.

Auch über Schwachstellen im PDF Reader von Edge und Hyper-V könnten Angreifer Schadcode auf anvisierte Computer bringen. Unter Windows 8.1 und 10 für Edge und Internet Explorer 11 installiert sich das jüngst veröffentlichte Flash-Update automatisch.

Der Security Update Guide von Microsoft enthält weitere Infos zu den Sicherheitslücken und Patches.

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE