Microsoft hat im Oktober 60 Sicherheitslücken gestopft
Z390 Cashback

Microsoft hat im Oktober 60 Sicherheitslücken gestopft

Meldung von doelf, Mittwoch der 09.10.2019, 15:15:18 Uhr

Gestern hatte Microsoft seinen Oktober-Patch-Day abgehalten und dabei 60 Sicherheitslücken in Windows mitsamt Update Assistant, Edge und ChakraCore, dem Internet Explorer, Office samt Office Services und Web Apps, Dynamics 365, SQL Server Management Studio und nicht näher benannter Open Source Software geschlossen. Neun Fehler wurden als kritisch eingestuft, die übrigen sind laut Microsoft durch die Bank hochgefährlich. Adobes Flash Player hat diesmal kein Update erhalten.

Wer heutzutage erfahren will, welche Sicherheitslücken Microsoft beseitigt hat, muss bei Talos, den Sicherheitsspezialisten von Cisco Systems, vorbeischauen. Microsofts eigener Security Update Guide liefert nämlich auch weiterhin eine völlig unübersichtliche Auflistung und taugt nur zur gezielten Suche nach Informationen über spezielle Updates oder Produkte. Es ist nicht einmal möglich, jene Sicherheitslücken, welche bereits aktiv angegriffen werden, herauszufiltern.

Server schleust Schad-Code auf Client
Die gefährlichste Sicherheitslücke des Monats ist CVE-2019-1333, ein kritischer Bug im Remote Desktop Client, der sich aus der Ferne angreifen lässt. Das Problem entsteht bereits beim Verbindungsaufbau zum Server, welcher beliebigen Code auf den Client schleusen und dort ausführen kann. Ein Angreifer muss sein Opfer zuvor dazu bewegen, den bösartigen Server anzusteuern. Dies kann via Phishing oder auch über vergiftete DNS-Einträge bzw. Mittelsmann-Angriffe geschehen. Auch ist es möglich, einen legitimen Server zu hacken und dort Schad-Code zu hinterlegen. Das Problem betrifft alle Windows-Varianten inklusive der Server und ist so attraktiv, dass Microsoft baldige Angriffe befürchtet.

Sechs kritische Lücken bedrohen die Webbrowser
Vier kritische Lücken wurden in der Chakra Scripting Engine (CVE-2019-1307, CVE-2019-1308, CVE-2019-1335, CVE-2019-1366) des Internetbrowsers Edge entdeckt. Beim Laden einer speziell gestalteten Webseite ermöglichen sie das Einschleusen von Schadcode, der dann im Sicherheitskontext des aktuellen Benutzers ausgeführt wird. Offenbar ist es nicht so einfach, diese Speicherfehler auszulösen, weshalb Microsoft baldige Angriffe für weniger wahrscheinlich hält. Ähnlich verhält es sich mit CVE-2019-1238 und CVE-2019-1239, zwei kritischen Schwachstelle in VBScript, welche den Internet Explorer (Versionen 9 bis 11) bedrohen. Keiner dieser sechs Fehler wurde bisher öffentlich dokumentiert oder gar angegriffen.

Fehler im Azure-Stack und MSXML-Parser
Bleiben noch zwei kritische Sicherheitslücken: Die erste steckt im Azure App Service bzw. Azure Stack (CVE-2019-1372), bei dem die Längenprüfung für einen Puffer fehlt. Ein Nutzer kann dies missbrauchen, um eigenen Code mit Systemrechten auszuführen und damit die Beschränkungen der Sandbox zu umgehen. Der MSXML-Parser der Microsoft XML Core Services patzt derweil bei Benutzereingaben (CVE-2019-1060), was Angriffe über speziell präparierte Webseiten ermöglicht. Betroffen sind alle Windows-Versionen ab 8.1 inklusive der Server. In Redmond geht man nicht davon aus, dass diese beiden Schwachstellen zeitnah zu Angriffszielen werden.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]