Werbung
Unser Musik-Tipp: Pearl Jam - Gigaton


Microsoft hat im Juni 132 Sicherheitslücken gestopft

Meldung von doelf, Mittwoch der 10.06.2020, 16:07:34 Uhr

Microsoft hat gestern 132 Sicherheitslücken in Windows, dem Internet Explorer, Edge nebst ChakraCore, Office samt Office Services und Web Apps, Visual Studio, Dynamics, Azure DevOps, dem Windows Defender, dem Windows App-Store, den Microsoft Apps für Android, HoloLens und System Center geschlossen. Zwölf Schwachstellen gelten als kritisch und eine davon betrifft Adobes Flash Player, den Microsoft mit seinen Webbrowsern ausliefert.

Seit Microsoft auf eine eigene Zusammenfassung seiner monatlichen Update-Flut verzichtet, diente uns Talos, also die Sicherheitsspezialisten von Cisco Systems, als primäre Quelle, um den Überblick zu behalten. Nun scheint man allerdings auch bei Talos das Interesse verloren zu haben, denn auch dort findet sich diesmal nur eine ganz grobe Übersicht. Verständlich, schließlich liefert Microsofts Security Update Guide für den 9. Juni 2020 stolze 3.506 Einträge, durch die man sich mühsam kämpfen muss. Und selbst wenn man sich auf kritische Fehler beschränkt, bleiben noch 349 Einträge übrig.

Wir haben diese 349 Einträge durchgearbeitet und konnten sie zu zwölf Sicherheitslücken zusammenfassen:

  • CVE-2020-1073: Ein Speicherfehler in der ChakraCore-Skript-Engine lässt sich für Web-basierte Angriffe missbrauchen. Betroffen sind Microsoft Edge (EdgeHTML) und ChakraCore. Angriffe hält Microsoft für weniger wahrscheinlich.
  • CVE-2020-1181: Unsichere ASP.Net-Websteuerelemente werden nicht zuverlässig erkannt, wodurch authentifizierte Angreifer Aktionen im Sicherheitskontext des SharePoint-Anwendungspoolprozesses ausführen können. Betroffen sind SharePoint Foundation 2010 und 2013, der SharePoint Enterprise Server 2016 und der SharePoint Server 2019. Angriffe hält Microsoft für weniger wahrscheinlich.
  • CVE-2020-1213: Ein Speicherfehler in der VBScript-Engine lässt sich über bösartige Webseiten angreifen und führt Schadcode im Rechtekontext des Benutzers aus. Betroffen sind die Internet Explorer 9 und 11, Angriffe hält man in Redmond für wahrscheinlich.
  • CVE-2020-1216: Ein Speicherfehler in der VBScript-Engine lässt sich über bösartige Webseiten angreifen und führt Schadcode im Rechtekontext des Benutzers aus. Betroffen sind die Internet Explorer 9 und 11, Angriffe hält man in Redmond für wahrscheinlich.
  • CVE-2020-1219: Ein Speicherfehler ermöglicht die Remotecodeausführung über manipulierte Webseiten. Betroffen sind der Internet Explorer 11, Edge (EdgeHTML) sowie ChakraCore. Baldige Angriffe hält man in Redmond für wahrscheinlich.
  • CVE-2020-1248: Ein Speicherfehler im Graphics Device Interface (GDI) lässt sich für Web-basierte Angriffe ausnutzen, bei denen Schadcode im Rechtekontext des Benutzers ausgeführt wird. Betroffen sind Windows 10 Version 1903 bis 2004 sowie die entsprechenden Server-Varianten. Angriffe hält Microsoft für weniger wahrscheinlich.
  • CVE-2020-1260: Ein Speicherfehler in der VBScript-Engine lässt sich über bösartige Webseiten angreifen und führt Schadcode im Rechtekontext des Benutzers aus. Betroffen sind die Internet Explorer 9 und 11, Angriffe hält man in Redmond für wahrscheinlich.
  • CVE-2020-1281: Angreifer können Dateien derart gestalten, dass diese eine unzureichende Prüfung von OLE-Benutzereingaben ausnutzen, um Schadcode im Rechtekontext des Benutzers auszuführen. Betroffen sind alle Windows-Versionen inklusive der Server. Angriffe hält Microsoft für weniger wahrscheinlich.
  • CVE-2020-1286: Angreifer können Dateien derart gestalten, dass diese eine unzureichende Prüfung der Windows-Shell-Dateipfade ausnutzen, um Schadcode im Rechtekontext des Benutzers auszuführen. Betroffen sind Windows 10 Version 1709 bis 2004 sowie die entsprechenden Server-Varianten. Angriffe hält Microsoft für weniger wahrscheinlich.
  • CVE-2020-1299: Über manipulierte LNK-Dateien können Benutzer dazu verleitet werden, Schadcode in ihrem Rechtekontext auszuführen. Betroffen sind alle Windows-Versionen inklusive der Server. Angriffe hält Microsoft für weniger wahrscheinlich.
  • CVE-2020-1300: Über speziell präparierte CAB-Dateien, die sich als Druckertreiber ausgeben, können Angreifer Schadcode ausführen. Betroffen sind alle Windows-Versionen inklusive der Server. Angriffe hält Microsoft für weniger wahrscheinlich.
  • ADV200010: Adobe hat in seinem Flash Player den kritischen Fehler CVE-2020-9633 geschlossen. Es handelt sich um einen Zugriff auf ein bereits gelöschtes Objekt, welchen Angreifer zum Ausführen von Schadcode missbrauchen können.

Die restlichen 3.157 Einträge umfassen nochmals 120 Schwachstellen, die für mindestens ein Produkt eine hohe Gefahr darstellen. Diese ebenfalls zusammenzufassen, sprengt leider den Rahmen dessen, was wir zu leisten vermögen. Wer nach mittelschweren oder geringen Bedrohungen sucht, wird zwar ebenfalls fündig, doch dabei handelt es sich ausnahmslos um Duplikate von Fehlern, die in anderem Kontext eine kritische oder hohe Gefahr darstellen.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]