Der erste Patchday 2016 bringt zwar nur eine kleine Zahl von Updates, doch betreffen diese ein breites Spektrum von Produkten und haben es durchaus in sich: Sechs der neun Sicherheitsbulletins beseitigen kritische Schwachstellen, unter anderem im Windows-Kernel sowie in Office. Außerdem erreichen einige recht wichtige Produkte das Ende ihrer Lebensdauer und werden zum letzten Mal mit Patches versorgt; denn Microsoft stellt den Support für alle älteren Browser auf den verschiedenen Plattformen ein und wird künftig für jede Version seines Betriebssystems nur noch den aktuellsten Browser pflegen. [...]
Im Einzelnen:
- Internet Explorer 11 unter Windows 7, 2008 R2, 8.1, 2012 R2, RT und Windows 10 (IE 8, 9 und 10 werden mit MS16-001 letztmalig aktualisiert und erhalten dann keinen Support mehr)
- Internet Explorer 10 unter Server 2012
- Internet Explorer 9 unter Vista SP2 und Server 2008 (IE 7 und IE 8 erhalten keinen Support mehr)
Genauer gesagt: Für IE 7 und IE 8 gibt es keine Unterstützung mehr, während IE 9 und IE 10 nur noch auf einigen spezifischen Legacy-Plattformen gepflegt werden. Das erleichtert Microsoft die IE-Pflege, bürdet aber den IT-Managern zusätzliche Arbeit auf, die ihre Browser-Installationen auf den neuesten Stand bringen müssen. Mittelfristig wird so eine bessere und robustere Plattform entstehen, doch auf kurze Sicht werden einige Sicherheitsanfälligkeiten hinzukommen, da die alten Browser keine Updates mehr erhalten. Weitere Informationen stellt Microsoft auf seiner Supportseite https://support.microsoft.com/en-us/lifecycle#gp/Microsoft-Internet-Explorer zur Verfügung.
Doch zurück zu den aktuellen Patches. An erster Stelle steht hier MS16-005 – jedenfalls dann, wenn User Vista, Windows 7 oder Server 2008 verwenden. Auf diesen Systemen ermöglicht die Sicherheitslücke CVE-2016-0009 Remotecodeausführung (RCE) und sie ist auch bereits öffentlich bekannt gegeben worden. Die neueren Betriebssysteme Windows 8 und Windows 10 sind von dieser Anfälligkeit entweder nicht betroffen oder sie wird dort nur als „hoch“ eingestuft.
Die zweithöchste Priorität hat MS16-004. Dieses Update schließt sechs Sicherheitslücken in Microsoft Office, die Angreifer allesamt in die Lage versetzen können, aus der Ferne Code auszuführen. Microsoft stuft dieses Bulletin als „kritisch“ ein, was bei einem Office-Bulletin ungewöhnlich ist. Die als kritisch bewertete Schwachstelle CVE-2016-0010 besteht in sämtlichen Office-Versionen, von 2007 bis 2016, auch auf dem Mac und bei RT.
Als Nächstes stehen Internet Explorer (MS16-001) und Microsoft Edge (MS16-002) auf der Liste. Beide Bulletins gelten als kritisch, da sie Sicherheitslecks stopfen, die Angreifern die Übernahme des Zielrechners ermöglichen, wenn der Benutzer eine schädliche Website im Browser anzeigen lässt. Die beiden Updates schließen jeweils zwei Sicherheitslücken. Im Fall des Internet Explorers ist dies recht ungewöhnlich, da oft 20 Schwachstellen und mehr behoben werden.
MS16-006, das noch verbleibende kritische Bulletin, gilt Silverlight und behebt nur eine Sicherheitsanfälligkeit. MS16-010 ist ein serverseitiges Update für Microsoft Exchange. Es schließt vier Sicherheitslücken im OWA-Modul von Exchange, die zur Offenlegung von Informationen führen und die Ausführung von Skripten ermöglichen können, wenn eine speziell gestaltete E-Mail dargestellt wird.Von Microsoft übersprungen wurde hingegen MS16-009. Es ist zu vermuten, dass dieses Bulletin erst noch weiter getestet werden soll, bevor es veröffentlicht wird.
Adobe bringt seine Updates ebenfalls am Patchday heraus; das aktuellste ist APSB16-02 für Adobe Reader. Es behebt kritische Schwachstellen, die auf der Prioritätsskala jedoch allesamt nur die Stufe „2“ erreichen und somit innerhalb der nächsten 30 Tage installieren werden sollten. Die am häufigsten angegriffene Software des Unternehmens, der Flash Player, wird zu gegebenem Zeitpunkt nicht aktualisiert. Oder besser gesagt: Das Update für Januar 2016 wurde schon vorzeitig Ende Dezember 2015 veröffentlicht. Falls User APSB16-01 noch nicht haben, sollten sie sich dringend damit befassen – eine der Anfälligkeiten wird bereits „in the wild“ ausgenützt, weshalb Adobe die neue Version außer der Reihe herausgebracht hat.
Darüber hinaus steht diesen Monat das vierteljährliche Update von Oracle an. Es wird am kommenden Dienstag, den 19. Januar, veröffentlicht. User sollten sich hierh auf eine neue Version von Java, MySQL und der Enterprise-Datenbank einrichten.
* Wolfgang Kandek ist CTO bei Qualys.
Be the first to comment