Microsoft veröffentlicht 16 Sicherheits-Updates für Juni !
Obwohl Microsoft den Patch-Day zum Auslaufmodell erklärt hatte, bringt der zweite Dienstag jedes Monats auch weiterhin neue Sicherheits-Updates.
Im Juni 2016 sind es – wie schon im Mai – 16 Flicken, von denen fünf kritische Schwachstellen beheben.
Die übrigen Updates wurden als wichtig eingestuft, sie kümmern sich um hochgefährliche Fehler.
Insgesamt hat Microsoft diesmal 40 Probleme in der eigenen Software beseitigt.
Adobes Flash Player wurde nicht aktualisiert.
Zehn Sicherheitslücken stecken im Internet Explorer der Versionen 9 bis 11, darunter sechs kritische Speichermanipulationen, die eine Remote-Code-Ausführung ermöglichen.
Fünf dieser Sicherheitsanfälligkeiten stecken im Skriptmodul, doch zumindest wird diesmal noch keine aktiv angegriffen.
Eine weitere Speicherbeschädigung stuft Microsoft nur als hochgradig gefährlich an, dies gilt auch für eine Sicherheitsanfälligkeit im XSS-Filter und eine weitere im WPAD-Protokoll (Web Proxy Auto Discovery).
Letztere ermöglicht die Erhöhung von Berechtigungen.
Edge, der Nachfolger des Internet Explorer, bringt es im Juni auf acht Schwachstellen.
Fünf kritische Fehler beschädigen den Speicherinhalt und ermöglichen das Einschleusen von Schadcode.
Davon stecken drei im Skriptmodul und einer im integrierten PDF-Betrachter.
Zwei weitere Bugs im PDF-Betrachter können als Datenleck fungieren.
Sie wurden ebenso als hochgradig gefährlich eingestuft wie eine Sicherheitslücke, mit deren Hilfe Angreifer die Sicherheitsrichtlinie für Inhalte (Content Security Policy) umgehen können.
In Office 2007, 2010, 2013, 2013 RT und 2016, Office für Mac 2011 und 2016, dem Office Compatibility Pack und den Dateibetrachtern für Word- und Visio-Dateien wurden vier Probleme beseitigt, von denen eines kritisches Potential hat.
Dieser Fehler ermöglicht, wie auch zwei hochgradig gefährliche Schwachstellen, das Einschleusen von Schadcode, während beim vierten Bug die Offenlegung von Informationen droht.
Dieses Informationsleck und eine der Remote-Code-Ausführungen betreffen zudem die SharePoint Server 2010 und 2013, die Office Web Apps 2010 und 2013 sowie den Office Online Server.
Der letzte kritische Fehler wurde im DNS-Server von Windows Server 2012 und 2012 R2 entdeckt, diese Lücke betrifft auch die Core-Installationen.
Mit Hilfe speziell gestalteter Anforderungen kann der DNS-Server dazu gebracht werden, auf bereits aus dem Speicher entfernte Objekte zuzugreifen.
Im Erfolgsfall kann ein Angreifer beliebigen Code einschleusen und diesen im Sicherheitskontext des lokalen Benutzers ausführen.
Glücklicherweise wurde dieses Problem nicht öffentlich dokumentiert und es sind auch noch keine Angriffe auf diese Schwachstelle bekannt.
Kommen wir nun zu den Flicken der Kategorie "wichtig": Die Gruppenrichtlinien enthalten einen Fehler, der Mittelsmannangriffe auf den Datenverkehr zwischen einem Domänencontroller und seinem Zielcomputer ermöglicht.
Jeweils drei hochgefährliche Probleme wurden im Kernelmodustreiber und der Grafikkomponente entdeckt.
In beiden Fällen ermöglichen zwei der Bugs die Ausweitung von Rechten, während es sich beim dritten um ein Informationsleck handelt.
Angemeldete Benutzer können sich aufgrund einer Schwachstelle in Server Message Block (SMB) höhere Rechte verschaffen.
Betroffen sind jeweils alle Varianten von Windows.
Eine Speicherbeschädigung über Netlogon ermöglicht unter Server 2008, 2008 R2, 2012 und 2012 R2 das Einschleusen von Schadcode und zu der bereits im Zusammenhang mit dem Internet Explorer aufgeführten Schwachstelle im WPAD-Protokoll (Web Proxy Auto Discovery) gesellt sich ein zweiter Fehler, der sich zur Ausweitung von Berechtigungen eignet.
Auch der Diagnose-Hub kann Angreifern zusätzliche Rechte verschaffen, doch diesen gibt es nur unter Windows 10.
Die Server 2008 R2, 2012 und 2012 R2 sind aufgrund einer Sicherheitsanfälligkeit in Active Directory anfällig für Denial-of-Service-Angriffe.
Im Exchange Server der Versionen 2007, 2010, 2013 und 2016 wurde ein Informationsleck sowie drei Rechteausweitungen korrigiert, wobei die letztgenannten in einer Bibliothek von Oracle stecken.
Bleibt noch ein möglicher Denial-of-Service-Angriff über die Search-Komponente, den angemeldete Benutzer unter Windows 7, 8.1 und 10 sowie bei den Server-Versionen 2008 R2, 2012 und 2012 R2 einleiten können.
Windows RT 8.1 ist hiervon ebenfalls betroffen.