Juni-Patchday: Microsoft schließt vier Zero-Day-Lücken von SandboxEscaper

Microsoft hat seine monatlichen Sicherheitspatches veröffentlicht. Der Juni bringt Fixes für insgesamt 88 Anfälligkeiten, von denen 21 als kritisch bewertet sind. Geschlossen werden auch vier Zero-Day-Lücken, die zuletzt die Sicherheitsforscherin SandboxEscaper öffentlich gemacht hatte, ohne Microsoft vorab zu informieren.

Gepatcht wurden nun eine Lücke in der Windows Aufgabenplanung, die eine Ausweitung von Benutzerrechten ermöglicht, sowie eine Schwachstelle in Internet Explorer 11, die es erlaubt, Code außerhalb der Sandbox auszuführen. Zwei weitere Bugs umgehen Sicherheitsfunktionen des Windows Installer sowie einen im April veröffentlichten Patch für die Anfälligkeit CVE-2019-0841 – in beiden Fällen kommt es ebenfalls zu einer nicht autorisierten Rechteausweitung.

Microsoft betont, dass keine der vier Sicherheitslücken derzeit aktiv von Hackern ausgenutzt werden, obwohl SandboxEscaper Beispielcode für Exploits vorab veröffentlicht hatte. Das soll auch für alle anderen Anfälligkeiten gelten, die der Juni-Patchday adressiert.

Updates stehen laut den Release Notes für den Juni-Patchday für Windows, Internet Explorer, Edge, Office, die Office-Dienste und Office Web-Apps, Chakra Core, Skype for Business und Lync, Exchange Server sowie Azure zur Verfügung. Außerdem gibt es ein separates Firmware-Update für die die AR-Brille HoloLens, das ebenfalls sicherheitsrelevante Korrekturen enthält.

Als besonders schwerwiegend gelten Fehler in der Chakra Scripting Engine, der Microsoft Scripting Engine, dem Hypervisor Hyper-V sowie der Microsoft Speech API. Sie erlauben das Einschleusen und Ausführen von Schadcode aus der Ferne. Davon betroffen sich auch Edge und Internet Explorer.

Außerdem weist Microsoft darauf hin, dass bestimmte auf Bluetooth basierende Sicherheitsschlüssel nach der Installation der Juni-Patches nicht mehr mit Windows genutzt werden können. Betroffen sind unter anderem Produkte von Feitian sowie Googles Security Key Titan. Bei ihnen liegt eine Fehlkonfiguration des Bluetooth-Protokolls vor, die es einem Angreifer erlaubt, während des Pairing-Vorgangs mit den Schlüsseln zu interagieren. Microsoft rät betroffenen, den von Feitian und Google angebotenen kostenlosen Produktaustausch in Anspruch zu nehmen.

Google hatte ein ähnliches Update bereits Anfang Juni für Android veröffentlicht. Es verhindert ebenfalls, dass schädliche Bluetooth-Geräte mit dem Mobilbetriebssystem verbunden werden können. Linux- und macOS-Nutzer sollten indes darauf achten, dass sie die fraglichen Geräte nur nutzen, wenn sie ausschließen können, dass sich potenzielle Angreifer in Bluetooth-Reichweite aufhalten.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Volles Risiko: Wertschöpfung im digitalen Zeitalter sichern

Experten von Deloitte, HORNBACH, dem LKA und Link11 haben sich mit den Bedrohungen digitaler Unternehmenswerte…

13 Stunden ago

Versicherungen: Online-Kunden verzichten auf persönliche Beratung

Weil Kunden beim Erwerb von Online-Versicherungen fast immer persönliche Beratung dankend ablehnen, müssen die Anbieter…

17 Stunden ago

Cybersicherheit leidet unter Geldmangel

Laut einer Kaspersky-Studie hat mehr als die Hälfte der Unternehmen in Deutschland Schwierigkeiten, Cybersicherheitsverbesserungen zu…

18 Stunden ago

Europäische Unternehmen verklagen Microsoft

Eine Koalition europäischer Unternehmen unter der Federführung von Nextcloud hat Kartellklagen gegen Microsoft bei der…

19 Stunden ago

Corona befördert das Wachstum von Cloud-Services

Corona hat sowohl die Bedeutung der IT als auch von Public Cloud Services gesteigert. Die…

5 Tagen ago

ZTNA versus Remote Access VPN – 6 Vorteile

Remote Access Virtual Private Networks (VPN) haben lange gute Dienste geleistet, aber der Trend zum…

5 Tagen ago