14. Januar 2016 Wolfgang Kandek*

Gastkommentar: Patchday Januar 2016 – 6 der Sicherheitsbulletins beseitigen kritische Schwachstellen

Der erste Patchday 2016 bringt zwar nur eine kleine Zahl von Updates, doch betreffen diese ein breites Spektrum von Produkten und haben es durchaus in sich: Sechs der neun Sicherheitsbulletins beseitigen kritische Schwachstellen, unter anderem im Windows-Kernel sowie in Office. Außerdem erreichen einige recht wichtige Produkte das Ende ihrer Lebensdauer und werden zum letzten Mal mit Patches versorgt; denn Microsoft stellt den Support für alle älteren Browser auf den verschiedenen Plattformen ein und wird künftig für jede Version seines Betriebssystems nur noch den aktuellsten Browser pflegen. [...]

Im Einzelnen:

  • Internet Explorer 11 unter Windows 7, 2008 R2, 8.1, 2012 R2, RT und Windows 10 (IE 8, 9 und 10 werden mit MS16-001 letztmalig aktualisiert und erhalten dann keinen Support mehr)
  • Internet Explorer 10 unter Server 2012
  • Internet Explorer 9 unter Vista SP2 und Server 2008 (IE 7 und IE 8 erhalten keinen Support mehr)

Genauer gesagt: Für IE 7 und IE 8 gibt es keine Unterstützung mehr, während IE 9 und IE 10 nur noch auf einigen spezifischen Legacy-Plattformen gepflegt werden. Das erleichtert Microsoft die IE-Pflege, bürdet aber den IT-Managern zusätzliche Arbeit auf, die ihre Browser-Installationen auf den neuesten Stand bringen müssen. Mittelfristig wird so eine bessere und robustere Plattform entstehen, doch auf kurze Sicht werden einige Sicherheitsanfälligkeiten hinzukommen, da die alten Browser keine Updates mehr erhalten. Weitere Informationen stellt Microsoft auf seiner Supportseite  https://support.microsoft.com/en-us/lifecycle#gp/Microsoft-Internet-Explorer zur Verfügung.

Doch zurück zu den aktuellen Patches. An erster Stelle steht hier MS16-005 – jedenfalls dann, wenn User Vista, Windows 7 oder Server 2008 verwenden. Auf diesen Systemen ermöglicht die Sicherheitslücke CVE-2016-0009 Remotecodeausführung (RCE) und sie ist auch bereits öffentlich bekannt gegeben worden. Die neueren Betriebssysteme Windows 8 und Windows 10 sind von dieser Anfälligkeit entweder nicht betroffen oder sie wird dort nur als „hoch“ eingestuft.

Die zweithöchste Priorität hat  MS16-004. Dieses Update schließt sechs Sicherheitslücken in Microsoft Office, die Angreifer allesamt in die Lage versetzen können, aus der Ferne Code auszuführen. Microsoft stuft dieses Bulletin als „kritisch“ ein, was bei einem Office-Bulletin ungewöhnlich ist. Die als kritisch bewertete Schwachstelle CVE-2016-0010 besteht in sämtlichen Office-Versionen, von 2007 bis 2016, auch auf dem Mac und bei RT.

Als Nächstes stehen Internet Explorer (MS16-001) und Microsoft Edge (MS16-002) auf der Liste. Beide Bulletins gelten als kritisch, da sie Sicherheitslecks stopfen, die Angreifern die Übernahme des Zielrechners ermöglichen, wenn der Benutzer eine schädliche Website im Browser anzeigen lässt. Die beiden Updates schließen jeweils zwei Sicherheitslücken. Im Fall des Internet Explorers ist dies recht ungewöhnlich, da oft 20 Schwachstellen und mehr behoben werden.

MS16-006, das noch verbleibende kritische Bulletin, gilt Silverlight und behebt nur eine Sicherheitsanfälligkeit. MS16-010 ist ein serverseitiges Update für Microsoft Exchange. Es schließt vier Sicherheitslücken im OWA-Modul von Exchange, die zur Offenlegung von Informationen führen und die Ausführung von Skripten ermöglichen können, wenn eine speziell gestaltete E-Mail dargestellt wird.

Von Microsoft übersprungen wurde hingegen MS16-009. Es ist zu vermuten, dass dieses Bulletin erst noch weiter getestet werden soll, bevor es veröffentlicht wird.

Adobe bringt seine Updates ebenfalls am Patchday heraus; das aktuellste ist  APSB16-02 für Adobe Reader. Es behebt kritische Schwachstellen, die auf der Prioritätsskala jedoch allesamt nur die Stufe „2“ erreichen und somit innerhalb der nächsten 30 Tage installieren werden sollten. Die am häufigsten angegriffene Software des Unternehmens, der Flash Player, wird zu gegebenem Zeitpunkt nicht aktualisiert. Oder besser gesagt: Das Update für Januar 2016 wurde schon vorzeitig Ende Dezember 2015 veröffentlicht. Falls User APSB16-01 noch nicht haben, sollten sie sich dringend damit befassen – eine der Anfälligkeiten wird bereits „in the wild“ ausgenützt, weshalb Adobe die neue Version außer der Reihe herausgebracht hat.

Darüber hinaus steht diesen Monat das vierteljährliche Update von Oracle an. Es wird am kommenden Dienstag, den 19. Januar, veröffentlicht. User sollten sich hierh auf eine neue Version von Java, MySQL und der Enterprise-Datenbank einrichten.

* Wolfgang Kandek ist CTO bei Qualys.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

22. November 2024

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*