• IT-Karriere:
  • Services:

Januar-2019-Update: Microsoft schließt kritische Exchange- und DHCP-Lücke

Mit einer bösartigen E-Mail lässt sich der Exchange Server von Microsoft komplett übernehmen, Windows-Systeme können ebenso über ein DHCP-Paket angegriffen und übernommen werden. Diese und weitere Lücken hat Microsoft mit aktuellen Updates geschlossen.

Artikel veröffentlicht am ,
Mit dem Update Januar 2019 schließt Microsoft kritische Lücken im DHCP-Client und Exchange Server.
Mit dem Update Januar 2019 schließt Microsoft kritische Lücken im DHCP-Client und Exchange Server. (Bild: Alexas_Fotos/CC0 1.0)

Microsoft hat sein erstes Update-Paket im Jahr 2019 für seine vielen verschiedenen Dienste und Angebote veröffentlicht. Damit schließt der Hersteller wie immer teils sehr kritische Sicherheitslücken. Dazu gehört diesmal eine Lücke (CVE-2019-0547) im DHCP-Client von Windows Server und Windows 10 in Version 1803, die auf einen Speicherfehler zurückzuführen ist und den extrem hohen CVSS-Wert 9.8 erhalten hat. Angreifern ist es damit möglich, über ein bösartiges DHCP-Response-Paket beliebigen Code auf dem Rechner der Opfer auszuführen. Diese Lücke hat Microsofts internes Sicherheitsteam gefunden.

Stellenmarkt
  1. Stadtverwaltung Eisenach, Eisenach
  2. T e b i s Technische Informationssysteme AG, Martinsried bei München

Eine ebenfalls sehr gravierende Sicherheitslücke (CVE-2019-0586), die Microsoft nun geschlossen hat, betrifft den Exchange Server 2016 und 2019. Über eine speziell erstellte E-Mail kann demnach der Server durch Angreifer komplett übernommen werden, um Code mit Rechten des System-Benutzers auszuführen. Angreifer könnten so Programme installieren, Daten ansehen, verändern oder löschen sowie neue Accounts erstellen. Auch hierbei handelt es sich um einen Fehler beim Umgang mit dem Speicher. Microsoft selbst bewertet die Lücke nicht als kritisch, sondern nur als wichtig.

Zwei sehr ähnliche Sicherheitslücken (CVE-2019-0550, CVE-2019-0551) in allen Halbjahresupdates von Windows 10 seit Version 1607 sowie Windows Server 2016 und 2019 ermöglichen einen Hyper-V-Ausbruch aus virtualisierten Gastsystemen und das Ausführen von Code auf dem Hostsystem. Die Sicherheitslücke in Skype für Android, die es ermöglicht, die PIN-Sperre des Geräts zu umgehen, wird inzwischen mit der Nummer CVE-2019-0622 geführt. Das Gefährdungspotenzial beschreibt Microsoft als moderat, wohl weil Angreifer physischen Zugriff auf das Gerät benötigen.

Ebenfalls zum Ausführen von Code eignet sich eine Sicherheitslücke (CVE-2019-0579) in der Jet Database Engine. Dabei soll es sich um die einzige derzeit komplett offengelegte Lücke handeln, die mit dem aktuellen Update geschlossen wird. Weitere Updates betreffen mehrere Sicherheitslücken im Internet Explorer, Microsoft Edge und den Javascript-Engine Chakra Core, Lücken in unterschiedlichen Windows-Komponenten und den Office-Anwendungen sowie Fehler und Lücken im .Net Framework und ASP.Net.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (aktuell u. a.Transcend ESD230C 960 GB SSD für 132,90€)
  2. (u. a. LG OLED55E97LA für 1.599 (inkl. 200€ Direktabzug, versandkostenfrei), Samsung...
  3. 18,00€ (bei ubi.com)
  4. 30,00€ (bei ubi.com)

gaym0r 09. Jan 2019

Ist es in dem Fall aber tatsächlich nicht. :)


Folgen Sie uns
       


Razer Eracing Simulator ausprobiert (CES 2020)

Der Eracing Simulator von Razer versucht, das Fahrgefühl in einem Rennwagen wiederzugeben. Dank Motoren und einer großen Leinwand ist die Immersion sehr gut, wie Golem.de im Hands on feststellen konnte.

Razer Eracing Simulator ausprobiert (CES 2020) Video aufrufen
Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Ölindustrie Der große Haken an Microsofts Klimaplänen
  2. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  3. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10

IT-Gehälter: Je nach Branche bis zu 1.000 Euro mehr
IT-Gehälter
Je nach Branche bis zu 1.000 Euro mehr

Wechselt ein ITler in eine andere Branche, sind auf dem gleichen Posten bis zu 1.000 Euro pro Monat mehr drin. Welche Industrien die höchsten und welche die niedrigsten Gehälter zahlen: Wir haben die Antworten auf diese Fragen - auch darauf, wie sich die Einkommen 2020 entwickeln werden.
Von Peter Ilg

  1. Softwareentwickler Der Fachkräftemangel zeigt sich nicht an den Gehältern

    •  /