Gastkommentar: Patchday Oktober 2015 – Patches für IE, MS Office und Adobe

Der Patchday im Oktober 2015 erweist sich als Light-Version. Es gibt nur sechs Sicherheitsmeldungen, die allerdings alle wichtigen Produkte abdecken: ein kritisches Update für den Internet Explorer (jedoch nicht für Edge), ein Bulletin für Office, das Schwachstellen schließt, die Remotecodeausführung (RCE) erlauben, sowie ein Update zur Beseitigung von Sicherheitslücken im Windows-Kernel, die die Erweiterung von Rechten ermöglichen. Plus ein interessantes Problem in der Windows-Shell, das ebenfalls RCE ermöglicht. Praktisch alle Versionen von Windows und Office sind betroffen, mit der Ausnahme, dass es in diesem Monat keine Updates für die zusätzlichen Software-Pakete wie .NET oder Server-Software gibt. [...]

In diesem Monat ist es der Internet Explorer, der die Prioritätenliste anführt. MS15-106 bringt fünfzehn Fixes, von denen neun kritische Sicherheitslecks stopfen, die zu Remotecodeausführung (RCE) führen könnten, wenn ein User eine manipulierte Website ansurft. Dieses Update sollte als Erstes auf allen betroffenen Plattformen, von Vista und IE7 bis hin zu Windows 10 und IE11, installiert werden.

Sowohl MS15-107 als auch MS15-108 hängen mit dem Internet Explorer-Bulletin zusammen. MS15-107 ist eine neue Version des neuen Browsers Edge, die jedoch nur zwei vergleichsweise marginale Fixes bringt: die Beseitigung einer Sicherheitsanfälligkeit, die zur Offenlegung von Informationen führen kann, sowie ein Update für den XSS-Filter. In MS15-108 sind vier der Patches aus MS15-106 für Rechner verpackt, auf denen eine separate Version von JavaScript läuft, hauptsächlich bei Internet Explorer 7.

Besondere Aufmerksamkeit verdienen MS15-109 und MS15-110. MS15-110 behebt sechs Sicherheitsanfälligkeiten in Office (hauptsächlich Excel), von denen fünf die Ausführung von Code aus der Ferne ermöglichen. Um diese Anfälligkeiten erfolgreich auszunutzen, würde ein Angreifer einen User dazu bringen, eine Excel-Tabelle zu öffnen, die einen entsprechenden Exploit enthält. Das ist nicht weiter schwer, wenn eine solche Tabelle in einem interessanten Kontext präsentiert wird, zum Beispiel als Information über Produkte von Konkurrenzanbietern, deren Preise sowie Preisnachlässe. Das Update MS15-109 beseitigt hingegen eine Anfälligkeit in der Windows-Shell, die sowohl per E-Mail als auch beim Websurfen ausgelöst werden kann und den Angreifer in die Lage versetzt, aus der Ferne Schadcode auszuführen.

Das letzte Update, MS15-111, schließt Schwachstellen in Windows, die eine lokale Erhöhung der Berechtigungen ermöglichen. Das Update betrifft ebenfalls sämtliche Versionen von Windows, beginnend mit Vista bis hin zu Windows 10. Angreifer würden eine solche Sicherheitslücke ausnützen, um Kontrolle über das System zu erlangen, wenn sie bereits auf einem Rechner angemeldet sind.

Kurz zusammengefasst: Als Erstes empfiehlt sich die Installation von MS15-106 für Internet Explorer und als Zweites MS15-110 für Excel. An dritter Stelle sollte das Update MS15-109 für Windows-Shell folgen. Die restlichen Updates sind weniger kritisch und können im Rahmen des gewöhnlichen Patchzyklus eines Users installiert werden.

Last but not least: Auch Adobe hat Updates veröffentlicht, für Adobe Reader und Flash. APSB15-24 für Reader und APSB15-25 für Flash stopfen eine Reihe kritischer Sicherheitslücken, die einen Angreifer in die Lage versetzen können, im Kontext des Benutzers Code auszuführen. Bei Flash sollte der Patch unverzüglich installiert werden. Der PDF-Reader hingegen hat mit Adobes Sandbox eine zusätzliche Absicherung bekommen. Es empfiehlt sich, den Patch für Adobe Reader im Rahmen des normalen Patchzyklus zu installieren.

* Wolfgang Kandek ist CTO bei Qualys.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*