• IT-Karriere:
  • Services:

Januar-2019-Update: Microsoft schließt kritische Exchange- und DHCP-Lücke

Mit einer bösartigen E-Mail lässt sich der Exchange Server von Microsoft komplett übernehmen, Windows-Systeme können ebenso über ein DHCP-Paket angegriffen und übernommen werden. Diese und weitere Lücken hat Microsoft mit aktuellen Updates geschlossen.

Artikel veröffentlicht am ,
Mit dem Update Januar 2019 schließt Microsoft kritische Lücken im DHCP-Client und Exchange Server.
Mit dem Update Januar 2019 schließt Microsoft kritische Lücken im DHCP-Client und Exchange Server. (Bild: Alexas_Fotos/CC0 1.0)

Microsoft hat sein erstes Update-Paket im Jahr 2019 für seine vielen verschiedenen Dienste und Angebote veröffentlicht. Damit schließt der Hersteller wie immer teils sehr kritische Sicherheitslücken. Dazu gehört diesmal eine Lücke (CVE-2019-0547) im DHCP-Client von Windows Server und Windows 10 in Version 1803, die auf einen Speicherfehler zurückzuführen ist und den extrem hohen CVSS-Wert 9.8 erhalten hat. Angreifern ist es damit möglich, über ein bösartiges DHCP-Response-Paket beliebigen Code auf dem Rechner der Opfer auszuführen. Diese Lücke hat Microsofts internes Sicherheitsteam gefunden.

Stellenmarkt
  1. Hochschule für angewandte Wissenschaften Augsburg, Augsburg
  2. MULTIVAC Sepp Haggenmüller SE & Co. KG, Wolfertschwenden

Eine ebenfalls sehr gravierende Sicherheitslücke (CVE-2019-0586), die Microsoft nun geschlossen hat, betrifft den Exchange Server 2016 und 2019. Über eine speziell erstellte E-Mail kann demnach der Server durch Angreifer komplett übernommen werden, um Code mit Rechten des System-Benutzers auszuführen. Angreifer könnten so Programme installieren, Daten ansehen, verändern oder löschen sowie neue Accounts erstellen. Auch hierbei handelt es sich um einen Fehler beim Umgang mit dem Speicher. Microsoft selbst bewertet die Lücke nicht als kritisch, sondern nur als wichtig.

Zwei sehr ähnliche Sicherheitslücken (CVE-2019-0550, CVE-2019-0551) in allen Halbjahresupdates von Windows 10 seit Version 1607 sowie Windows Server 2016 und 2019 ermöglichen einen Hyper-V-Ausbruch aus virtualisierten Gastsystemen und das Ausführen von Code auf dem Hostsystem. Die Sicherheitslücke in Skype für Android, die es ermöglicht, die PIN-Sperre des Geräts zu umgehen, wird inzwischen mit der Nummer CVE-2019-0622 geführt. Das Gefährdungspotenzial beschreibt Microsoft als moderat, wohl weil Angreifer physischen Zugriff auf das Gerät benötigen.

Ebenfalls zum Ausführen von Code eignet sich eine Sicherheitslücke (CVE-2019-0579) in der Jet Database Engine. Dabei soll es sich um die einzige derzeit komplett offengelegte Lücke handeln, die mit dem aktuellen Update geschlossen wird. Weitere Updates betreffen mehrere Sicherheitslücken im Internet Explorer, Microsoft Edge und den Javascript-Engine Chakra Core, Lücken in unterschiedlichen Windows-Komponenten und den Office-Anwendungen sowie Fehler und Lücken im .Net Framework und ASP.Net.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 14,99€

gaym0r 09. Jan 2019

Ist es in dem Fall aber tatsächlich nicht. :)


Folgen Sie uns
       


Xbox Series X und S - Fazit

Im Video zum Test der Xbox Series X und S zeigt Golem.de die Hardware und das Dashboard der Konsolen von Microsoft.

Xbox Series X und S - Fazit Video aufrufen
Hitman 3 im Test: Agent 47 verabschiedet sich mörderisch
Hitman 3 im Test
Agent 47 verabschiedet sich mörderisch

Das (vorerst) letzte Hitman bietet einige der besten Einsätze der Serie - daran dürften aber vor allem langjährige Fans Spaß haben.
Von Peter Steinlechner

  1. Hitman 3 angespielt Agent 47 in ungewohnter Mission

Razer Book 13 im Test: Razer wird erwachsen
Razer Book 13 im Test
Razer wird erwachsen

Nicht Lenovo, Dell oder HP: Anfang 2021 baut Razer das zunächst beste Notebook fürs Büro. Wer hätte das gedacht? Wir nicht.
Ein Test von Oliver Nickel

  1. True Wireless Razer bringt drahtlose Kopfhörer mit ANC für 210 Euro
  2. Razer Book 13 Laptop für Produktive
  3. Razer Ein Stuhl für Gamer - aber nicht für alle

20 Jahre Wikipedia: Verlässliches Wissen rettet noch nicht die Welt
20 Jahre Wikipedia
Verlässliches Wissen rettet noch nicht die Welt

Noch nie war es so einfach, per Wikipedia an enzyklopädisches Wissen zu gelangen. Doch scheint es viele Menschen gar nicht mehr zu interessieren.
Ein IMHO von Friedhelm Greis

  1. Desktop-Version Wikipedia überarbeitet "klobiges" Design

    •  /