Microsoft hat im Juli 53 Sicherheitslücken gestopft

Neue Software, Treiber oder BIOS-Versionen findet ihr hier
[ News about software, drivers and bios can be found here ]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33536
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Microsoft hat im Juli 53 Sicherheitslücken gestopft

Beitrag von doelf » 12 Jul 2018, 21:36

Microsoft hat am Juli-Patch-Day 53 Sicherheitslücken in Windows, Edge nebst ChakraCore, dem Internet Explorer, Office (inklusive der Office Services und Web Apps), Visual Studio, dem .NET-Framework, ASP.NET, Skype for Business und Microsoft Lync geschlossen. Weitere Korrekturen betreffen die Bibliothek Microsoft Research JavaScript Cryptography, die Software für den Microsoft Wireless Display Adapter V2, den Dienst Web Customizations for Active Directory Federation, die Editor-Dienste der PowerShell, die PowerShell-Erweiterung für Visual Studio Code und Adobes Flash Player.

Wer heutzutage erfahren will, welche Sicherheitslücken Microsoft geschlossen hat, muss bei Talos, den Sicherheitsspezialisten von Cisco Systems vorbeischauen. Microsofts eigener Security Update Guide liefert nämlich auch weiterhin eine völlig unübersichtliche Auflistung und taugt nur zur gezielten Suche nach Informationen über spezielle Updates oder Produkte. Abermals stellen die Webbrowser Edge und Internet Explorer sowie die dazugehörigen Scripting-Engines das größte Risiko dar.

Kritische Speichermanipulationen in den Webbrowsern
Gleich sieben kritische Speicherfehler (CVE-2018-8242, CVE-2018-8275, CVE-2018-8279, CVE-2018-8283, CVE-2018-8288, CVE-2018-8291, CVE-2018-8296) musste Microsoft in der Scripting Engine beseitigen. Diese Schwachstellen betreffen Edge, ChakraCore sowie die Internet Explorer 10 und 11. Sie eignen sich zum Einschleusen von Schadcode und Microsoft selbst geht von baldigen Angriffen aus. Dazu kommen fünf kritische Speicherfehler in der Chakra Scripting Engine (CVE-2018-8280, CVE-2018-8286, CVE-2018-8290, CVE-2018-8294, CVE-2018-8298), welche Edge und ChakraCore bedrohen, sowie drei kritische Speicherfehler in Edge (CVE-2018-8262, CVE-2018-8274, CVE-2018-8301). Auch über diese acht Lücken kann Schad-Code aufs System gelangen und man sollte mit Angriffen rechnen. Eine weitere Speicherschluderei ermöglicht es bösartigen Webseiten, über Edge an Informationen über das System des Besuchers zu gelangen (CVE-2018-8324). Diese Informationen, welche Microsoft nicht weiter beleuchtet, können für Angriffe genutzt werden.

PowerShell Editor Services und Flash Player
Nur eine kritische Lücke, nämlich CVE-2018-8327, hat nichts mit Internetbrowsern oder Scripting-Engines zu tun: Stattdessen steckt sie in den PowerShell Editor Services. Angreifer können den Fehler aus der Ferne angreifen und eigenen Code über die PowerShell Editor Services ausführen. Um derartige Angriffe zu unterbinden, hat Microsoft die Absicherung lokaler Verbindungen überarbeitet. Einen Angriff auf die PowerShell Editor Services hält Microsoft zwar für möglich, aber für weniger wahrscheinlich. Bleibt noch der Flash Player, welcher in Edge und dem Internet Explorer 11 auf die Version 30.0.0.134 aktualisiert wurde. Adobe hat mit diesem Update zwei Sicherheitslücken geschlossen, darunter eine kritische Typenverwechslung (CVE-2018-5007).

Quelle:
https://portal.msrc.microsoft.com/en-us ... 0d3a33c573
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten