Gastkommentar: Patchday Januar 2016 – 6 der Sicherheitsbulletins beseitigen kritische Schwachstellen

Der erste Patchday 2016 bringt zwar nur eine kleine Zahl von Updates, doch betreffen diese ein breites Spektrum von Produkten und haben es durchaus in sich: Sechs der neun Sicherheitsbulletins beseitigen kritische Schwachstellen, unter anderem im Windows-Kernel sowie in Office. Außerdem erreichen einige recht wichtige Produkte das Ende ihrer Lebensdauer und werden zum letzten Mal mit Patches versorgt; denn Microsoft stellt den Support für alle älteren Browser auf den verschiedenen Plattformen ein und wird künftig für jede Version seines Betriebssystems nur noch den aktuellsten Browser pflegen. [...]

Im Einzelnen:

  • Internet Explorer 11 unter Windows 7, 2008 R2, 8.1, 2012 R2, RT und Windows 10 (IE 8, 9 und 10 werden mit MS16-001 letztmalig aktualisiert und erhalten dann keinen Support mehr)
  • Internet Explorer 10 unter Server 2012
  • Internet Explorer 9 unter Vista SP2 und Server 2008 (IE 7 und IE 8 erhalten keinen Support mehr)

Genauer gesagt: Für IE 7 und IE 8 gibt es keine Unterstützung mehr, während IE 9 und IE 10 nur noch auf einigen spezifischen Legacy-Plattformen gepflegt werden. Das erleichtert Microsoft die IE-Pflege, bürdet aber den IT-Managern zusätzliche Arbeit auf, die ihre Browser-Installationen auf den neuesten Stand bringen müssen. Mittelfristig wird so eine bessere und robustere Plattform entstehen, doch auf kurze Sicht werden einige Sicherheitsanfälligkeiten hinzukommen, da die alten Browser keine Updates mehr erhalten. Weitere Informationen stellt Microsoft auf seiner Supportseite  https://support.microsoft.com/en-us/lifecycle#gp/Microsoft-Internet-Explorer zur Verfügung.

Doch zurück zu den aktuellen Patches. An erster Stelle steht hier MS16-005 – jedenfalls dann, wenn User Vista, Windows 7 oder Server 2008 verwenden. Auf diesen Systemen ermöglicht die Sicherheitslücke CVE-2016-0009 Remotecodeausführung (RCE) und sie ist auch bereits öffentlich bekannt gegeben worden. Die neueren Betriebssysteme Windows 8 und Windows 10 sind von dieser Anfälligkeit entweder nicht betroffen oder sie wird dort nur als „hoch“ eingestuft.

Die zweithöchste Priorität hat  MS16-004. Dieses Update schließt sechs Sicherheitslücken in Microsoft Office, die Angreifer allesamt in die Lage versetzen können, aus der Ferne Code auszuführen. Microsoft stuft dieses Bulletin als „kritisch“ ein, was bei einem Office-Bulletin ungewöhnlich ist. Die als kritisch bewertete Schwachstelle CVE-2016-0010 besteht in sämtlichen Office-Versionen, von 2007 bis 2016, auch auf dem Mac und bei RT.

Als Nächstes stehen Internet Explorer (MS16-001) und Microsoft Edge (MS16-002) auf der Liste. Beide Bulletins gelten als kritisch, da sie Sicherheitslecks stopfen, die Angreifern die Übernahme des Zielrechners ermöglichen, wenn der Benutzer eine schädliche Website im Browser anzeigen lässt. Die beiden Updates schließen jeweils zwei Sicherheitslücken. Im Fall des Internet Explorers ist dies recht ungewöhnlich, da oft 20 Schwachstellen und mehr behoben werden.

MS16-006, das noch verbleibende kritische Bulletin, gilt Silverlight und behebt nur eine Sicherheitsanfälligkeit. MS16-010 ist ein serverseitiges Update für Microsoft Exchange. Es schließt vier Sicherheitslücken im OWA-Modul von Exchange, die zur Offenlegung von Informationen führen und die Ausführung von Skripten ermöglichen können, wenn eine speziell gestaltete E-Mail dargestellt wird.

Von Microsoft übersprungen wurde hingegen MS16-009. Es ist zu vermuten, dass dieses Bulletin erst noch weiter getestet werden soll, bevor es veröffentlicht wird.

Adobe bringt seine Updates ebenfalls am Patchday heraus; das aktuellste ist  APSB16-02 für Adobe Reader. Es behebt kritische Schwachstellen, die auf der Prioritätsskala jedoch allesamt nur die Stufe „2“ erreichen und somit innerhalb der nächsten 30 Tage installieren werden sollten. Die am häufigsten angegriffene Software des Unternehmens, der Flash Player, wird zu gegebenem Zeitpunkt nicht aktualisiert. Oder besser gesagt: Das Update für Januar 2016 wurde schon vorzeitig Ende Dezember 2015 veröffentlicht. Falls User APSB16-01 noch nicht haben, sollten sie sich dringend damit befassen – eine der Anfälligkeiten wird bereits „in the wild“ ausgenützt, weshalb Adobe die neue Version außer der Reihe herausgebracht hat.

Darüber hinaus steht diesen Monat das vierteljährliche Update von Oracle an. Es wird am kommenden Dienstag, den 19. Januar, veröffentlicht. User sollten sich hierh auf eine neue Version von Java, MySQL und der Enterprise-Datenbank einrichten.

* Wolfgang Kandek ist CTO bei Qualys.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*