Guido Vrola - Fotolia

Patchday: Microsoft schließt kritische Lücken in Windows, IE und Office

Microsoft hat 16 Sicherheitsupdates veröffentlicht. Davon sind fünf als kritisch eingestuft, diese schließen Lücken in Windows, IE und Office.

Wie bereits bei den beiden vorangegangen Updaterunden bleib die Zahl der veröffentlichten Updates mit 16 auch zum Juni-Patchday unverändert hoch. Lediglich der Anteil der kritischen Updates fällt diesmal etwas geringer aus. Von den insgesamt 16 Sicherheitsupdates sind fünf als kritisch und elf als wichtig eingestuft. Was die Einstufungen bedeuten, können Sie dieser Übersicht im TechNet entnehmen. Betroffen von den Updates sind diesmal Windows (Server wie Client), Internet Explorer, Edge sowie Microsoft Office.

Eines der kritischen Updates ist das kumulative Update für den Internet Explorer (MS16-063). Eine Sicherheitslücke könnte dazu führen, das eine Remotecodeausführung möglich ist, wenn der Anwender eine speziell präparierte Website ansurft. Dieses Sicherheitsupdate wird für Internet Explorer 9 und Internet Explorer 11 auf betroffenen Windows-Clients als „kritisch‟ und für Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10) und Internet Explorer 11 (IE 11) auf betroffenen Windows-Servern als „Mittel‟ eingestuft. Das Update ändert unter anderem, wie der Internet Explorer Objekte im Arbeitsspeicher verarbeitet.

Auch Microsofts Browser Edge bekommt ein kumulatives Update (MS16-068). Dieses schließt eine Sicherheitslücke, die ebenfalls das Risiko einer Remotecodeausführung mit sich bringt. Ein Angreifer, der diese Sicherheitslücke ausnutzt, könnte die gleichen Benutzerrechten erlangen wie der aktuelle Benutzer. Dieses Update unter Windows 10 ist als „kritisch“ eingestuft.

Das kritische Update MS16-069 betrifft folgende Software: JScript- und VBScript-Skriptmodule in Microsoft Windows. Auch hier könnte über eine speziell entworfene Website eine Remotecodeausführung erfolgen. Betroffen hiervon sind allerdings nur ältere Windows-Versionen, als da wären: Windows Vista und Windows Server 2008.

Das kritische Sicherheitsupdate (MS16-070) für Microsoft Office schließt eine Lücke, die Remotecodeausführung zulassen könnte. Über eine präparierte Office-Datei könnte ein Angreifer beliebigen Code im Kontext des Benutzers ausführen. Dies betrifft Office 2007, Office 2010, Office 2013 (inklusive RT) und Office 2016. Mit von der Partie sind auch Office für Mac 2011 und Office 2016 für Mac. Dieses Update ersetzt ein im April 2016 veröffentlichtes Update.

Das fünfte kritische (MS16-071) Update betrifft eine Sicherheitslücke im Windows-DNS-Server. Auch diese Lücke würde eine Remotecodeausführung zulassen, wenn ein Angreifer speziell gestaltete Anforderungen an einen DNS-Server sendet. Betroffen sind Windows Server 2012 und Windows Server 2012 R2.

 

Nachfolgend finden Sie die elf als wichtig eingestuften Security-Bulletins:

 

  • MS16-072, Sicherheitsupdate für Gruppenrichtlinien - Auswirkung der Sicherheitsanfälligkeit: Erhöhung von Berechtigungen
  • MS16-073, Sicherheitsupdate für Windows-Kernelmodustreiber - Auswirkung der Sicherheitsanfälligkeit: Erhöhung von Berechtigungen
  • MS16-074, Sicherheitsupdate für Microsoft-Grafikkomponente, Auswirkung der Sicherheitsanfälligkeit: Erhöhung von Berechtigungen
  • MS16-075, Sicherheitsupdate für Windows-SMB-Server, Sicherheitsanfälligkeit: Erhöhung von Berechtigungen
  • MS16-076, Sicherheitsupdate für Netlogon, Sicherheitsanfälligkeit: Remotecodeausführung
  • MS16-077, Sicherheitsupdate für WPAD, Sicherheitsanfälligkeit: Erhöhung von Berechtigungen
  • MS16-078, Sicherheitsupdate für Windows-Diagnosehub, Sicherheitsanfälligkeit: Erhöhung von Berechtigungen
  • MS16-079, Sicherheitsupdate für Microsoft Exchange Server, Sicherheitsanfälligkeit: Offenlegung von Informationen
  • MS16-080, Sicherheitsupdate für Microsoft Windows-PDF, Sicherheitsanfälligkeit: Remotecodeausführung
  • MS16-081, Sicherheitsupdate für Active Directory, Sicherheitsanfälligkeit: Denial of Service
  • MS16-082, Sicherheitsupdate für Microsoft Windows Search-Komponente, Sicherheitsanfälligkeit: Denial of Service

Und natürlich gibt es am Update Tuesday auch wieder das Malicious Software Removal Tool in einer neuen Version zum Download.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

 

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close