Patchday Microsoft: Wer Mails via Outlook empfängt, lebt gefährlich

Microsoft schließt diesen Monat insgesamt 54 Sicherheitslücken in Windows & Co. Davon gelten einige Schwachstellen als kritisch.

Wer Edge, Internet Explorer, Microsoft Office, Outlook oder Windows nutzt, sollte sicherstellen, dass Windows Update den Computer aktualisiert hat. In dieser Software von Microsoft klaffen 54 Sicherheitslücken, die der Konzern an diesem Patchday geschlossen hat. Davon gelten 14 als „kritisch“, 38 Sicherheitsupdates stuft Microsoft als „wichtig“ ein. Das von zwei Lücken ausgehende Risiko gilt als „moderat“.

Am kritischsten gilt eine Schwachstelle in Outlook. Nutzen Angreifer diese aus, sollen sie Schadcode aus der Ferne ausführen und die Kontrolle über Computer übernehmen können. Die Lücke soll sich vergleichsweise einfach ausnutzen lassen. Angreifer müssen lediglich eine Mail mit einer präparierten Datei im Anhang an ein Opfer schicken.

In diesem Fall muss ein Opfer die Datei nicht mal öffnen, es reicht, wenn eine Vorschau der Mail im Preview Pane erscheint. Anschließend kommt es zu einem Speicherfehler und die Weichen für die Ausführung von Schadcode sind gestellt.

Zum erfolgreichen Ausnutzen einer zweiten Lücke in Outlook soll der alleinige Empfang einer speziell vorbereiteten Mail ausreichen, warnt Microsoft. Anschließend können sich Angreifer höhere Rechte verschaffen.

Im Internet Explorer und Edge klaffen 13 kritische Lücken. Wollen Angreifer an diesen erfolgreich ansetzen, müssen sie Opfer auf präparierte Webseiten locken. Im Anschluss kommt es zu einem Speicherfehler in der Scripting Engine und der Ausführung von Schadcode steht nichts mehr im Wege. Auf diesem Weg soll sich auch eine Schwachstelle der StructuredQuery-Komponente von Windows und Windows Server ausnutzen lassen.

Der Windows-Kernel erhält Updates für zehn Sicherheitslücken. Damit Angreifer diese ausnutzen können, müssen sie lokalen Zugriff haben und eine Applikation auf anvisierten Computern laufen lassen. Klappt das, können Angreifer beispielsweise Informationen auslesen oder sich höhere Rechte erschleichen.

2018-02-14T12:54:41+00:00