MSI Steam Deal

Microsoft hat im April 74 Sicherheitslücken gestopft

Meldung von doelf, Mittwoch der 10.04.2019, 13:17:24 Uhr

Microsoft hat am gestrigen April-Patch-Day 74 Sicherheitslücken in Windows, Edge nebst ChakraCore, dem Internet Explorer, Office samt Office Services und Web Apps, den Azure-DevOps-, Exchange- und Team-Foundation-Servern, ASP.NET, Open Enclave SDK und Windows Admin Center geschlossen. 16 Fehler wurden als kritisch eingestuft, die übrigen 58 sind wichtig und kümmern sich um Probleme der Gefahrenstufe "hoch". Auch Adobes Flash Player wurde aktualisiert und behebt zwei weitere Schwachstellen.

Wer heutzutage erfahren will, welche Sicherheitslücken Microsoft geschlossen hat, muss bei Talos, den Sicherheitsspezialisten von Cisco Systems vorbeischauen. Microsofts eigener Security Update Guide liefert nämlich auch weiterhin eine völlig unübersichtliche Auflistung und taugt nur zur gezielten Suche nach Informationen über spezielle Updates oder Produkte. Es ist nicht einmal möglich, jene Sicherheitslücken, welche bereits aktiv angegriffen werden, herauszufiltern.

8 kritische Lücken in den Webbrowsern
Je eine kritische Speichermanipulation findet sich in den Scripting-Engines von Internet Explorer (CVE-2019-0753) und Edge (CVE-2019-0739). Dazu kommen sechs weitere Speicherfehler (CVE-2019-0806, CVE-2019-0810, CVE-2019-0812, CVE-2019-0829, CVE-2019-0860, CVE-2019-0861) in der Chakra-Scripting-Engine, die neben Edge auch ChakraCore betreffen. Alle acht Lücken eignen sich als Einfallstor für Schadcode und wurden seitens Microsoft als wahrscheinliche Angriffsziele klassifiziert. Die Attacken erfolgen beim Aufruf speziell gestalteter Webseiten, wobei es schon reicht, wenn darauf bösartige Werbeanzeigen eingebettet wurden. Der Angreifer agiert im Rechtekontext des angemeldeten Nutzers, weshalb administrative Rechte im Internet zu meiden sind.

5 kritische Lücken im MSXML-Parser plus drei weitere
Schadcode kann allerdings auch über Webseiten mit XML-Inhalten auf den PC gelangen, da der MSXML-Parser diese Daten unzureichend prüft. Gleich fünf kritische Angriffspunkte (CVE-2019-0790, CVE-2019-0791, CVE-2019-0792, CVE-2019-0793, CVE-2019-0795) hat Microsoft hier entschärft, wobei CVE-2019-0793 als besonders einladend gilt. Angriffe auf die übrigen vier Fehler hält man in Redmond für weniger wahrscheinlich. Gleiches gilt für eine serverseitige Rechteausweitung (CVE-2019-0786) über das SMB-Protokoll (Server Message Block), einen Speicherfehler (CVE-2019-0853) in GDI+ (Graphics Device Interface) und eine Code-Ausführung über das IOleCvt-Interface beim Rendern von ASP-Webseiten (CVE-2019-0845).

Flash Player und Gefahrenstufe "Hoch"
Im Flash Player, der vom Internet Explorer und Edge genutzt wird, hat Adobe zwei Sicherheitslücken repariert. Es handelt sich um einen kritischen Zugriff auf bereits gelöschte Objekte (CVE-2019-7096) und einen unkontrollierten Lesezugriff (CVE-2019-7108), von dem eine hohe Gefahr ausgeht. Ein Fehler im LUAFV-Treiber (luafv.sys) kann den "Device Guard" von Windows 7, 8.1 und 10 umgehen und damit die Sicherheitsregel "User Mode Code Integrity" (UMCI) aushebeln (CVE-2019-0732). Hiervon sind auch Windows RT 8.1 und die Server 2008, 2008 R2, 2012, 2012 R2, 2016, 2019 sowie deren Core-Installationen betroffen. Da nur lokal angemeldete Benutzer diesen Fehler ausnutzen können, gilt er für Microsoft nicht als kritisch. Angreifer können diese Schwachstelle allerdings mit anderen Lücken kombinieren, um den Rechtekontext normaler Benutzer auszuweiten und ein System vollständig zu übernehmen.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]