Im Februar 2015 hält Microsoft zum Patchday neun Security Bulletins bereit. Drei der Sicherheitshinweise haben ein kritisches Rating, die übrigen Patches gelten als wichtig. 41 Sicherheitslücken wurden alleine im Internet Explorer gefunden.
Als Browser ist der Internet Explorer (IE) traditionell eines der anfälligsten Microsoft-Produkte. Über 40 Sicherheitslücken sind aber auch hier eine Seltenheit. Die schlimmsten Schwachstellen kann ein Angreifer mithilfe einer manipulierten Webseite ausnutzen, um sich die Benutzerrechte des aktuell angemeldeten Nutzers zu erschleichen. Dies würde es ihm unter Umständen erlauben, aus der Ferne beliebigen Code auf dem System auszuführen (Remote Code Execution, RCE).
Das Update MS15-009 modifiziert, wie der IE im Speicher abgelegte Objekte behandelt, außerdem erweitert es den Browser um zusätzliche Berechtigungsprüfungen. Darüber hinaus wird mit dem Patch sichergestellt, dass die ASLR-Sicherheitsfunktionen und Cross-Domain-Richtlinien greifen.
Während Windows Server nur einem moderaten Risiko ausgesetzt sind, gelten die RCE-Lücken im Falle der Client-Betriebssysteme von Vista bis Windows 8.1 als kritisch. Welche Version des Internet Explorer installiert ist, spielt dabei keine Rolle.
Sechs weitere Anfälligkeiten finden sich im Kernel-Modus-Treiber von Windows, ihnen wird mit dem Security Bulletin MS15-010 zu Leibe gerückt. Die ernstesten lassen sich wiederum für RCE-Attacken nutzen. Allerdings muss der Angreifer sein potenzielles Opfer dazu bringen, ein angepasstes Dokument oder eine Webseite zu öffnen, die mit eingebetteten TrueType-Schriftarten arbeiten.
Besonders empfänglich für entsprechende Attacken sind neuere Windows-Versionen wie Windows 7, Windows 8 oder RT 8.1, das gilt auch für die jeweils zweiten Revisionen von Windows Server 2008 und 2012. Ein geringeres Risiko besteht unter Windows Vista sowie Windows Server 2003 und 2008.
Der dritte kritische Patch MS15-011 soll eine RCE-Anfälligkeit in den Gruppenrichtlinien von Windows beheben. Ein Angreifer kann damit die volle Kontrolle über einen Domänen-Rechner übernehmen, sobald sich dieser mit einem von ihm aufgesetzten Netzwerk verbindet. Da die Gruppenrichtlinien-Engine betroffen ist, hat Microsoft das Update für alle Windows-Systeme als kritisch eingestuft.
Weniger kritische Patches im Überblick
Zwei wichtige Security Bulletins wurden für Microsoft Office veröffentlicht. Unter die Kennung MS15-012 fallen drei RCE-Schwachstellen, die sich mithilfe manipulierter Office-Dokumente ausnutzen lassen. Das Microsoft-Update MS15-013 behebt derweil eine Sicherheitslücke, die das Umgehen von integrierten Sicherheitsfunktionen erlaubt (Security Feature Bypass, SFB).
Auch in den Gruppenrichtlinien findet sich eine solche SFB-Anfälligkeit, soll aber der Aktualisierung MS15-014 anheimfallen. Mit dem Security Bulletin MS15-016 soll verhindert werden, dass die Grafik-Komponente von Windows sensible Informationen verrät. Die Updates MS15-015 und MS15-017 dienen dazu, ein unerlaubtes Anheben der Benutzerrechte unter Windows oder im Virtual Machine Manager (VMM) zu unterbinden.
(c)2015 www.security-insider.de / Vogel Business Media