Werbung
Restposten Angebote von Amazon: Computer und Zubehör, Baumarkt, Garten, Sport und Freizeit


Microsoft hat im Mai 123 Sicherheitslücken gestopft

Meldung von doelf, Dienstag der 12.05.2020, 23:20:19 Uhr

Microsoft hat heute 123 Sicherheitslücken in Windows, dem Internet Explorer, Edge (EdgeHTML/Chromium) nebst ChakraCore, Office samt Office Services und Web Apps, Visual Studio, dem .NET-Framework und .NET-Core, dem Windows Defender, Dynamics sowie Power BI geschlossen. Auch für Windows 7 und Server 2008 R2 gibt es ein neues Monatliches Rollup (KB4556836), doch dieses lässt sich nur installieren, wenn man einen kostenpflichtigen Support-Vertrag mit Microsoft geschlossen hat - oder wenn man dessen Prüfung aushebelt.

Das Projekt BypassESU von abbodi trickst Microsofts Prüfung nämlich aus, so dass sich die kostenpflichtigen "Extended Security Updates" (ESU) auf jedem Windows 7 installieren lassen. Allerdings muss diese Prüfung jeden Monat aufs Neue umschifft werden und auch hinter die Legalität eines solchen Vorgehens möchten wir einige Fragezeichen setzen. Andererseits kann man zumindest Privatnutzern nur bedingt vorwerfen, dass sie sich hierbei eine Leistung erschleichen, da Microsoft gar keine ESU-Verträge für Privatkunden anbietet. Sinnvoller erscheint uns allerdings der Umstieg auf Windows 10, der nach wie vor kostenlos funktioniert.

Wer heutzutage erfahren will, welche Sicherheitslücken Microsoft beseitigt hat, muss bei Talos, den Sicherheitsspezialisten von Cisco Systems, vorbeischauen. Microsofts eigener Security Update Guide liefert nämlich auch weiterhin eine völlig unübersichtliche Auflistung und taugt nur zur gezielten Suche nach Informationen über spezielle Updates oder Produkte. Es ist nicht einmal möglich, jene Sicherheitslücken, welche bereits aktiv angegriffen werden, herauszufiltern.

4 kritische Lücken in SharePoint
Microsoft bewertet 16 Schwachstellen als kritisch, 95 als gefährlich und jeweils sechs als mittelschwer bzw. harmlos. Gleich vier kritische Sicherheitslücken, welche das Einschleusen von Schadcode erlauben, wurden in SharePoint geschlossen. Alle vier betreffen den SharePoint Enterprise Server 2016 und den SharePoint Server 2019 und drei davon finden sich auch in SharePoint Foundation 2013 mit Service Pack 1. Drei der Fehler resultieren aus einer fehlenden Überprüfung des Quell-Markup von Anwendungspaketen (CVE-2020-1023, CVE-2020-1024 und CVE-2020-1102) und der vierte aus dem Nichterkennen von unsicheren ASP.Net-Websteuerelementen (CVE-2020-1069 ). In allen vier Fällen hält Microsoft Angriffe für weniger wahrscheinlich und öffentlich dokumentiert wurden diese Probleme bisher auch noch nicht.

3 kritische Lücken in Windows Media Foundation
In Windows Media Foundation wurden drei kritische Angriffspunkte ausgemacht (CVE-2020-1028, CVE-2020-1126 und CVE-2020-1136). Dabei handelt es sich ausnahmslos um Speicherfehler, über die Angreifer Schadcode platzieren können, was man in Redmond allerdings für nicht allzu wahrscheinlich hält. Die Fehler, die bisher nicht öffentlich dokumentiert wurden, betreffen Windows 10 sowie Windows Server 2016 und 2019. CVE-2020-1136 bedroht zudem Windows 8.1, Windows RT 8.1 und Windows Server 2012 R2. Die Angriffe können wahlweise über ein präpariertes Dokument oder über bösartige Webseiten erfolgen.

Farb-Management-Modul, Grafikkomponente und Visual Studio Code
Ebenfalls über Webseiten erfolgt der Angriff auf CVE-2020-1117, ein Speicherfehler im Farb-Management-Modul (ICM32.dll). Auch hier lässt sich Schadcode einschleusen und auch hier ist eine Ausnutzung eher unwahrscheinlich. Ein kritischer Speicherfehler in der Grafikkomponente (CVE-2020-1153) ist für Angreifer sehr attraktiv, zumindest wenn Windows 7 oder 8.1 bzw. Windows Server 2008 bis 2012 R2 das Ziel sind. Auf Windows 10 und Windows Server 2016 und 2019 erwartet Microsoft derweil keine Angriffe. Die Python-Erweiterung von Visual Studio Code schwächelt beim Laden von Arbeitsbereichseinstellungen aus einer Notizbuchdatei (CVE-2020-1192). Auch hierdurch lässt sich Code aus der Ferne ausführen, doch die Wahrscheinlichkeit eines Angriffs ist eher niedrig.

Internetbrowser und Scripting-Engines
Die gefährlichste Sicherheitslücke des Monats dürfte CVE-2020-1062 sein. Es handelt sich um einen Speicherfehler im Internet Explorer 9 und 11, der schon bald erste Angriffe auf sich ziehen dürfte. Bisher ist dies aber noch nicht geschehen. Microsoft Edge (EdgeHTML-Version) patzt derweil bei domänenübergreifenden Richtlinien, woraus eine kritische Rechteausweitung resultiert (CVE-2020-1056). Angriffe sind hier aber ebenso wenig zu befürchten wie auf Schwachstellen in der MSHTML-Engine (CVE-2020-1064, unzureichende Eingabeprüfung beim Internet Explorer), der ChakraCore-Scripting-Engine (CVE-2020-1037 und CVE-2020-1065, Speicherfehler in Edge) und der VBScript-Engine (CVE-2020-1093, Speicherfehler beim Internet Explorer).

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]