Updates und ein Fail: Patchday bei Microsoft

Microsofts Patchday ist in diesem Monat besonders ergiebig: Insgesamt wurden 71 Schwachstellen gepatcht. Viele der Schwachstellen sind als kritisch eingestuft, Nutzer sollten schnell updaten. Einige der Informationen, die Microsoft veröffentlicht hatte, waren leider nicht für die Öffentlichkeit bestimmt.

Artikel veröffentlicht am ,
Microsoft bringt seine Produkte auf den neuesten Stand.
Microsoft bringt seine Produkte auf den neuesten Stand. (Bild: Lucas Jackson/Reuters)

Microsoft hat in diesem Monat an seinem Patchday besonders umfangreiche Updates zur Verfügung gestellt. Viele der Sicherheitslücken sind als kritisch eingestuft - Anwender und Administratoren sollten also möglichst bald patchen.

Stellenmarkt
  1. Teamleiter UX-Design (m/w/d)
    experts, Berlin
  2. Scrum Master (w/m/d) in der iGaming Branche
    Gamomat Development GmbH, Berlin, remote
Detailsuche

Mit den Patches MS15-124 und MS15-125 patcht Microsoft den Edge-Browser und Internet Explorer. Insgesamt wurden 34 Schwachstellen gepatcht. Elf davon betreffen sowohl den Internet Explorer als auch Edge. Bei den meisten Schwachstellen handelt es sich um Fehler im Speichermanagement sowie Umgehungen für Sicherungsmechanismen für ASLR und XSS.

Die Schwachstellen mit den Nummern CVE-2015-6135 und CVE-2015-61636 betreffen Fehler in der VBScript Engine. Durch den Fehler können Informationen über das Speichermanagement an Angreifer weitergegeben werden - was zu weiteren Exploits führen könnte. Standardmäßig ausgeliefert wird der Patch nur für den Internet Explorer 8 bis 11. Organisationen und Nutzer, die noch auf den IE 7 setzen, müssen das Update MS15-126 manuell installieren.

Mit MS15-127 schließt Microsoft eine Use-After-Free-Lücke im Windows-DNS-Dienst. Ein Angreifer kann mit Hilfe spezieller Anfragen Code auf einem Server mit der Schwachstelle ausführen. Update MS15-128 schließt eine Lücke in der Font-Verwaltung von Windows, die ebenfalls für eine Remote-Code-Execution ausgenutzt werden kann.

Golem Akademie
  1. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    9–13. Mai 2022, Virtuell
  2. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    21.–22. März 2022, Virtuell
Weitere IT-Trainings

Auch Silverlight bedarf einiger Updates. Die Schwachstelle CVE-2015-6166 ermöglicht eine Remote Code Execution, die über infizierte Webseiten getriggert werden kann. Weitere Schwachstellen verringern die Wirksamkeit des ASLR-Schutzmechanismus. Mit dem Update MS15-131 schließlich bringt Microsoft die Office-Suite auf den neuesten Stand. Auch hier sind die meisten Fehler im Speichermanagement zu finden. Diese Fehler behindern das korrekte Parsing von Office-Dokumenten.

Mit den Updates hatte Microsoft zwischenzeitlich aus Versehen ein Zertifikat veröffentlicht, das für den Xbox-Live-Dienst genutzt wird. Ein Mircosoft-Sprecher sagte The Register, dass das Zertifikat nicht genutzt werden könne, um eigene Zertifikate zu erstellen, Code zu signieren oder andere Domains nachzuahmen. Man-in-the-Middle-Angriffe seien aber möglich. Das kompromittierte Zertifikat wird bei allen Rechnern ab Windows 8 automatisch deaktiviert und ersetzt. Nutzer mit Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 RC2 müssen dazu den Microsoft-Dienst für automatische Zertifikatsupdates installieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Raumfahrt
SpaceX-Rakete stürzt voraussichtlich im März auf den Mond

Ob sich Elon Musk so die erste Ankunft einer SpaceX-Rakete auf dem Mond vorgestellt hat?

Raumfahrt: SpaceX-Rakete stürzt voraussichtlich im März auf den Mond
Artikel
  1. Netzwerkdurchsetzungsgesetz: Tiktok will Nutzerdaten nicht in großem Stil ans BKA melden
    Netzwerkdurchsetzungsgesetz
    Tiktok will Nutzerdaten nicht in großem Stil ans BKA melden

    Tiktok will Nutzerdaten nicht von sich aus ans BKA schicken, wenn strafbare Inhalte gepostet wurden, und klagt gegen das Netzwerkdurchsetzungsgesetz.

  2. G413 SE, G413 TKL SE: Logitech bringt zwei mechanische Tastaturen für weniger Geld
    G413 SE, G413 TKL SE
    Logitech bringt zwei mechanische Tastaturen für weniger Geld

    Normalerweise sind mechanische Tastaturen von Logitech sehr teuer - nicht so die G413 SE und TKL SE. Die verzichten dafür auf RGB.

  3. Deutschland: E-Commerce wird immer mehr zum Normalfall
    Deutschland
    E-Commerce wird immer mehr zum Normalfall

    E-Commerce wird immer mehr als das Normale und Übliche empfunden, meint der Bundesverband E-Commerce und Versandhandel.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3090 24GB 2.349€ • RTX 3070 Ti 8GB 1.039€ • 1TB SSD PCIe 4.0 127,67€ • RX 6900XT 16 GB 1.495€ • Razer Gaming-Tastatur 155€ • LG OLED 65 Zoll 1.599€ • Razer Gaming-Maus 39,99€ • RX 6800XT 16GB 1.229€ • GOG New Year Sale: bis zu 90% Rabatt • Razer Gaming-Stuhl 179,99€ [Werbung]
    •  /