Microsoft-Patchday: Fünf kritische Lücken, alle Windows-Versionen betroffen
Microsoft verteilt diesen Monat insgesamt 13 Updates für Windows, Office und seine beiden Browser Internet Explorer und Edge. Mehrere Lücken erlauben es, Windows-Rechner aus der Ferne zu kapern.
Wie auch schon im letzten Monat hat Microsoft für seinen März-Patchday 13 Sicherheitsupdates veröffentlicht. Diesmal werden fünf davon als kritisch eingestuft: die Sammel-Updates für die beiden Browser Internet Explorer und Edge sowie drei Lücken in Windows, die Angreifern das Ausführen von Schadcode aus der Ferne möglich machen. Der Edge-Browser holt mit der Anzahl der kritischen Lücken pro Patchday langsam auf. Nutzer älterer Internet-Explorer-Versionen erhalten seit Februar keine Patches mehr.
Wieder Probleme mit der PDF-Bibliothek
Die drei kritischen Windows-Lücken befinden sich in einer Funktion zur Darstellung von Schriftarten, im eingebauten PDF-Reader von Windows und in den Untiefen des Media-Players. Über alle diese Schwachstellen können Angreifern ihrem Opfer präparierte Daten unterschieben, mit denen sie Kontrolle über den Rechner erhalten können. Zum Teil funktionieren diese Angriffe auch aus dem Internet.
Die weiteren acht Schwachstellen schätzt Microsoft als wichtig ein. Sie betreffen weitere Komponenten von Windows sowie Microsoft Office und das .NET-Framework. Immerhin müssen Admins diesmal keine komplizierten Server-Umgebungen wie Exchange patchen.
Nutzer von Windows 10 auf Version 1511 und von Server 2016 Technical Preview 4 erhalten die Patches als Sammel-Update. Da dieses kumulativ installiert wird, werden in der Regel nur die zehn Updates installiert, die Windows 10 bzw. Server 2016 betreffen.
Alle Patchday-Sicherheitswarnungen von Microsoft im Überblick:
- MS16-023: Cumulative Security Update for Internet Explorer (3142015)
- MS16-024: Cumulative Security Update for Microsoft Edge (3142019)
- MS16-025: Security Update for Windows Library Loading to Address Remote Code Execution (3140709)
- MS16-026: Security Update for Graphic Fonts to Address Remote Code Execution (3143148)
- MS16-027: Security Update for Windows Media to Address Remote Code Execution (3143146)
- MS16-028: Security Update for Microsoft Windows PDF Library to Address Remote Code Execution (3143081)
- MS16-029: Security Update for Microsoft Office to Address Remote Code Execution (3141806)
- MS16-030: Security Update for Windows OLE to Address Remote Code Execution (3143136)
- MS16-031: Security Update for Microsoft Windows to Address Elevation of Privilege (3140410)
- MS16-032: Security Update for Secondary Logon to Address Elevation of Privilege (3143141)
- MS16-033: Security Update for Windows USB Mass Storage Class Driver to Address Elevation of Privilege (3143142)
- MS16-034: Security Update for Windows Kernel-Mode Drivers to Address Elevation of Privilege (3143145)
- MS16-035: Security Update for .NET Framework to Address Security Feature Bypass (3141780)
Quelle: http://heise.de/-3131122