Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
 
News Disclaimer
 
Patchday: Zero-Day-Fix für Windows, kritische Exchange-Lücke

11.10.2018

 zur Newsdatenbank home

Zum 09.10.18 hat Microsoft knapp 50 Sicherheitslücken in vielen seiner Software-Komponenten geschlossen. Es gibt Patches für Windows, Office, Internet Explorer, Edge, SQL Server Management Studio, den Exchange Server und mehrere Windows- und Browser-Komponenten. Teile von Azure IoT erhalten ebenfalls Updates. Zu beachten ist, dass ein Dutzend der Sicherheitspatches als kritisch gelten. Dabei wiegt besonders schwer eine Rechteausweitungslücke in Windows, die bereits bei ihrer Entdeckung für Angriffe ausgenutzt wurde (ein sogenannter Zero Day).

Ein Angreifer, der bereits ins System eingedrungen ist, kann die Zero-Day-Lücke (CVE-2018-8453) in der Win32k-Komponente des Grafikinterfaces GDI dazu missbrauchen, Schadcode mit Systemrechten auszuführen. Dieser Angreifer hätte Zugriff auf alle Daten des Systems und die Möglichkeit, Benutzerkonten zu manipulieren. Laut dem AV-Hersteller Kaspersky wurde die Zero-Day-Lücke von einer Hackergruppe verwendet, um äußerst zielgerichtete Angriffe auszuführen. Kaspersky hatte die benannte Lücke an Microsoft gemeldet. Zu der Entdeckung will die Sicherheitsfirma zeitnah einen detaillierten Bericht vorlegen.

Ebenfalls auffällig ist die Lücke im Exchange-Server. Hierbei handelt es sich um ein Sicherheitsproblem (CVE-2010-3190), das Microsoft bereits im Jahr 2010 behoben hatte – damals allerdings nicht in Exchange. Alle Versionen des Exchange-Servers sind laut Microsoft betroffen. Exchange Server 2016 sollte auf das kumulative Update 11 aktualisiert werden. Administratoren, die eine andere Version von Exchange einsetzen, sollten laut Microsoft unbedingt ein Update für Visual Studio 2010 installieren. Dieses Vorgehen beschreiben die Entwickler im Sicherheitshinweis MS11-025.

Wenn nicht bereits automatisch geschehen, können Windows-Anwender die Sicherheitsupdates wie gewohnt über Microsoft Update installieren. Noch unklar ist es, inwieweit durch die Probleme mit dem 1809-Update zu Stockungen kommen kann. Microsoft stellt Informationen über die gepatchten Sicherheitslücken im Security Update Guide bereit. Eine aufbereitete Liste findet sich im Patchday-Blog-Artikel von HPs Zero Day Initiative.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89