Microsoft schließt auch im August kritische Lücken in IE, Edge und Windows

Microsoft hat an seinem August-Patchday neun Sicherheitsupdates veröffentlicht, die insgesamt 34 Schwachstellen beseitigen. Als kritisch stuft das Unternehmen Anfälligkeiten in Internet Explorer, Edge und der Microsoft-Grafikkomponente ein. Davon betroffen sind Windows Vista, 7, 8.1, RT 8.1, 10, Server 2008 und Server 2012. Ein Angreifer kann unter Umständen Schadcode einschleusen und ausführen.

In Internet Explorer 9, 10 und 11 stecken insgesamt neun sicherheitsrelevante Fehler. Sie lassen sich unter anderem durch speziell gestaltete Websites ausnutzen – ein Hacker muss sein Opfer nur dazu bringen, eine solche Seite mit dem Microsoft-Browser zu öffnen. Allerdings erhält ein Angreifer nur die Rechte des angemeldeten Nutzers. Um die die vollständige Kontrolle über ein betroffenes System zu erhalten, werden Administratorrechte benötigt, die ein Standardnutzerkonto nicht hat. Gleiches gilt auch für die acht Löcher, die das Update MS16-096 in Edge stopft.

Die drei Bugs in der Microsoft-Grafikkomponente betreffen nicht nur alle unterstützten Windows-Versionen, sondern auch Office 2007 und 2010 sowie Skype for Business 2016, Microsoft Lync 2013 und Lync 2010. Neben präparierten Websites können dem Bulletin MS16-097 zufolge auch speziell entworfene Dokumente, die ein Benutzer öffnet, eine Remotecodeausführung auslösen.

Von den restlichen 14 Anfälligkeiten geht ein hohes Risiko aus. Vier Schwachstellen in den Windows-Kernelmodustreibern erlauben es einem Angreifer unter Umständen, durch eine nicht autorisierte Erhöhung von Benutzerrechten die vollständige Kontrolle über ein System zu übernehmen. Darüber hinaus patcht Microsoft fünf Lücken in Office 2007, 2010, 2013, 2013 RT und 2016, Office für Mac 2011, Office 2016 für Mac und Word Viewer. Sie führen möglicherweise zu einer Offenlegung persönlicher Informationen.

Das Update MS16-100 soll die Umgehung von Sicherheitsfunktionen beim sicheren Start verhindern. Außerdem sind die Authentifizierungsmethoden Kerberos und NetLogon fehlerhaft. Weitere Updates stehen für den ActiveSyncProvider von Windows 10 und die Windows-PDF-Bibliothek für Windows 8.1, 10 und Server 2012 zur Verfügung.

Microsoft verteilt die Patches über die Windows-Update-Funktion. Nutzer von Windows 10 erhalten zudem ein kumulatives Update, das auch nicht sicherheitsrelevante Fehler beseitigt. Es steht für Windows 10 Version 1607 (Anniversary Update), Windows 10 Version 1511 (November-Update) und das ursprüngliche Release Windows 10 Version 1507 zur Verfügung. Darüber hinaus erhalten alle Windows Insider das Build 14393.67, und zwar für Desktops und Smartphones.

Besitzer von Windows Phones, die nicht am Insider-Programm teilnehmen, gehen derzeit noch leer aus. Sie können weder ein kumulatives Update für das aktuelle Build 10586.494 noch das Anniversary Update Build 14393.x herunterladen.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.