Der Patchday im Oktober 2015 erweist sich als Light-Version. Es gibt nur sechs Sicherheitsmeldungen, die allerdings alle wichtigen Produkte abdecken: ein kritisches Update für den Internet Explorer (jedoch nicht für Edge), ein Bulletin für Office, das Schwachstellen schließt, die Remotecodeausführung (RCE) erlauben, sowie ein Update zur Beseitigung von Sicherheitslücken im Windows-Kernel, die die Erweiterung von Rechten ermöglichen. Plus ein interessantes Problem in der Windows-Shell, das ebenfalls RCE ermöglicht. Praktisch alle Versionen von Windows und Office sind betroffen, mit der Ausnahme, dass es in diesem Monat keine Updates für die zusätzlichen Software-Pakete wie .NET oder Server-Software gibt. [...]
In diesem Monat ist es der Internet Explorer, der die Prioritätenliste anführt. MS15-106 bringt fünfzehn Fixes, von denen neun kritische Sicherheitslecks stopfen, die zu Remotecodeausführung (RCE) führen könnten, wenn ein User eine manipulierte Website ansurft. Dieses Update sollte als Erstes auf allen betroffenen Plattformen, von Vista und IE7 bis hin zu Windows 10 und IE11, installiert werden.Sowohl MS15-107 als auch MS15-108 hängen mit dem Internet Explorer-Bulletin zusammen. MS15-107 ist eine neue Version des neuen Browsers Edge, die jedoch nur zwei vergleichsweise marginale Fixes bringt: die Beseitigung einer Sicherheitsanfälligkeit, die zur Offenlegung von Informationen führen kann, sowie ein Update für den XSS-Filter. In MS15-108 sind vier der Patches aus MS15-106 für Rechner verpackt, auf denen eine separate Version von JavaScript läuft, hauptsächlich bei Internet Explorer 7.
Besondere Aufmerksamkeit verdienen MS15-109 und MS15-110. MS15-110 behebt sechs Sicherheitsanfälligkeiten in Office (hauptsächlich Excel), von denen fünf die Ausführung von Code aus der Ferne ermöglichen. Um diese Anfälligkeiten erfolgreich auszunutzen, würde ein Angreifer einen User dazu bringen, eine Excel-Tabelle zu öffnen, die einen entsprechenden Exploit enthält. Das ist nicht weiter schwer, wenn eine solche Tabelle in einem interessanten Kontext präsentiert wird, zum Beispiel als Information über Produkte von Konkurrenzanbietern, deren Preise sowie Preisnachlässe. Das Update MS15-109 beseitigt hingegen eine Anfälligkeit in der Windows-Shell, die sowohl per E-Mail als auch beim Websurfen ausgelöst werden kann und den Angreifer in die Lage versetzt, aus der Ferne Schadcode auszuführen.
Das letzte Update, MS15-111, schließt Schwachstellen in Windows, die eine lokale Erhöhung der Berechtigungen ermöglichen. Das Update betrifft ebenfalls sämtliche Versionen von Windows, beginnend mit Vista bis hin zu Windows 10. Angreifer würden eine solche Sicherheitslücke ausnützen, um Kontrolle über das System zu erlangen, wenn sie bereits auf einem Rechner angemeldet sind.
Kurz zusammengefasst: Als Erstes empfiehlt sich die Installation von MS15-106 für Internet Explorer und als Zweites MS15-110 für Excel. An dritter Stelle sollte das Update MS15-109 für Windows-Shell folgen. Die restlichen Updates sind weniger kritisch und können im Rahmen des gewöhnlichen Patchzyklus eines Users installiert werden.
Last but not least: Auch Adobe hat Updates veröffentlicht, für Adobe Reader und Flash. APSB15-24 für Reader und APSB15-25 für Flash stopfen eine Reihe kritischer Sicherheitslücken, die einen Angreifer in die Lage versetzen können, im Kontext des Benutzers Code auszuführen. Bei Flash sollte der Patch unverzüglich installiert werden. Der PDF-Reader hingegen hat mit Adobes Sandbox eine zusätzliche Absicherung bekommen. Es empfiehlt sich, den Patch für Adobe Reader im Rahmen des normalen Patchzyklus zu installieren.
* Wolfgang Kandek ist CTO bei Qualys.
Be the first to comment