Micro­soft: Aktu­el­le Sicher­heits­up­dates auch für Win­dows 7 und 8.1

Microsoft

Micro­soft hat nun damit begon­nen, ent­spre­chen­de Sicher­heits­up­dates für ihre Betriebs­sys­te­me aus­zu­rol­len. Vom monat­li­chen Patch-Day pro­fi­tie­ren auch die Betriebs­sys­te­me Win­dows 7 und 8.1.

Wer das Betriebs­sys­tem von Micro­soft in Ver­wen­dung hat und das min­des­tens Win­dows 7 oder höher, soll­te mal einen Blick in die Win­dows Update wer­fen. Denn sei­tens Micro­soft hat man nun damit begon­nen, die all­mo­nat­li­chen Patch-Day-Updates auszurollen.

Hier sind so eini­ge Sicher­heits­ak­tua­li­sie­run­gen mit dabei, sowie kumu­la­ti­ve Updates für den Inter­net Explo­rer. Auch der Ado­be Flash­play­er erhält hier wie­der ent­spre­chen­des Updates, um diver­se Lücken zu schließen.

Edge:
Für den Micro­soft Egde wer­den ins­ge­samt 24 Sicher­heits­lü­cken mit der aktu­el­len Update-Wel­le geschlos­sen, wovon 16 von Micro­soft als kri­tisch ein­stuft. Vie­le die­ser Lücken betref­fen die Script Engi­ne, also das Javascript.

Flash Play­er:
Im Inter­net Explo­rer ab Win­dows 8 und in dem aktu­el­len Micro­soft Edge ist der inte­grier­te Flash Play­er von fünf kri­ti­schen Sicher­heits­lü­cken betrof­fen. Daher soll­te man unbe­dingt dar­auf ach­ten, dass man die aktu­el­le Ver­si­on 27.0.0.187 verwendet.

Inter­net Explorer:
Für den Inter­net Explo­rer 9 bis 11 gibt es kumu­la­ti­ve Sicher­heits­up­dates, wo ins­ge­samt 12 Schwach­stel­len geschlos­sen wer­den, wovon acht als kri­tisch ein­ge­stuft wur­den und sechs davon die Script Engi­ne betrifft.

Office:
Für das Micro­soft Office wer­den ins­ge­samt sechs Schwach­stel­len geschlos­sen, wovon kei­ne als kri­tisch ein­ge­stuft wur­den. Eine Lücke davon betrifft Excel (CVE-2017–11877) und ermög­licht ent­spre­chen­de Doku­men­te aus E‑Mail-Anhän­gen mit akti­vier­ten Makros zu öffnen

Eine ande­re Sicher­heits­lü­cke betrifft den Pro­ject Ser­ver und ver­gibt unter Umstän­den ange­mel­de­te Benut­zer höhe­re Rech­te. Dies kann ein Angrei­fer aus­nut­zen und bei­spiels­wei­se mit einer schäd­li­chen Web­sei­te auf die eige­nen Doku­men­te zugreifen.

Abge­se­hen davon gibt es noch ein Update namens „ADV170020”, auf das nicht näher ein­ge­gan­gen wur­de. Hier sol­len bei den Office-Ver­sio­nen 2010 bis 2016 zusätz­li­che Sicher­heits­maß­nah­men imple­men­tiert wor­den sein.

Win­dows:
Von Win­dows 7, über Win­dows 8.1 und Win­dows 10 hin­weg (inklu­si­ve den Ser­ver-Ver­sio­nen) gibt es ins­ge­samt 18 Sicher­heits­lü­cken. Eine davon betrifft den Device Guard (CVE-2017–11830) bei Win­dows 10 und den Win­dows Ser­ver 2016, wovon auch das Fall Creators Update (Ver­si­on 1709) betrof­fen ist. Mit die­ser Lücke kön­nen Angrei­fer nicht signier­te Trei­ber aus­füh­ren, was eigent­lich der Device Guard ver­hin­dern sollte.

In der Web App­li­ca­ti­on Frame­work von Micro­soft ASP.NET wer­den ins­ge­samt drei Schwach­stel­len beho­ben, wovon bereits schon in der Ver­gan­gen­heit zwei an die Öffent­lich­keit gelangten.

Anmer­kun­gen zum Bei­trag? Hin­weis an die Redak­ti­on sen­den.