Microsoft Patchday im April
April 13, 2018 3:50 pmAm Microsoft Patchday im April werden 66 Sicherheitslücken geschlossen
Wie jeden Monat behebt Microsoft auch dieses Mal eine Vielzahl Sicherheitslücken in seinen Produkten.
Ungewöhnlich: Auch eine Tastatur ist betroffen.
23 der 66 Schwachstellen stuft Microsoft als kritisch ein.
Ist Ihr System schon aktuell?
Wir fassen die wichtigsten Updates und Fixes für Sie zusammen.
Internet Explorer und Edge
Die IE Versionen 9 – 11 erhalten ein kumulatives Sicherheits-Update (KB4092946).
Mit diesem Update werden insgesamt 14 Schwachstellen behoben.
Neun dieser Sicherheitslücken stuft Microsoft als kritisch ein, von welchen die größte Anzahl wieder in der Scripting Engine Javascript steckt.
Die Schwachstelle CVE-2018-1004 im Visual-Basic-Script erlaubt es Angreifern, ein schädliches ActiveX-Element in ein Office-Dokument zu integrieren. Bei ActiveX handelt es sich um eine Softwarekomponente für den Internet Explorer, welche vor allem zur Anzeige von Webinhalten wie Bildern, Videos oder Audiodateien dient.
Im Browser Edge werden sieben von zehn Sicherheitslücken als kritisch eingestuft. Auch hier betreffen die meisten der Schwachstellen die Scripting Engine Javascript.
Updates für Windows
Fünf kritische Schwachstellen schließt Microsoft diesen Monat in der Grafikkompenente der verschiedenen Windows-Versionen. Mit entsprechend vorbereiteten Font-Dateien lassen sich diese Schwachstellen ausnutzen, um eingeschleusten Code auszuführen. In der Virtualisierungssoftware Hyper-V beseitigt Microsoft zwei Schwachstellen.
Hyper-V kommt vor allem in den Windows-Server-Versionen ab 2008 zum Einsatz und dient unter anderem zum Einrichten von Gastsystemen auf dem Hostsystem der Server. Die Schwachstellen ermöglichen Code vom Gastsystem auf Informationen im Speicher des Hostsystems zuzugreifen.
Wichtige Sicherheits-Updates für Office
In den Microsoft Office Produkten werden insgesamt 13 Sicherheitslücken mit hoher Risikoeinstufung geschlossen. Sieben dieser Lücken ermöglichen das Einschleusen und Ausführen von Code. Microsoft stuft diese Lücken allerdings nicht als kritisch ein, weil der Nutzer selber aktiv handeln muss, um eine Infizierung zu ermöglichen. In diesem Fall geschieht dies über das Öffnen einer präparierten Office-Datei, die beispielsweise über Email-Anhänge verschickt werden kann.
Fünf dieser Lücken betreffen konkret Excel.
Eine Schwachstelle (CVE-2018-1034) betrifft die Data Exchange Anwendung SharePoint. Ein als Benutzer angemeldeter Angreifer kann sich über diese Schwachstelle eine Rechteerweiterung und damit unerlaubten Zugriff auf Informationen verschaffen.
Malware Protection Engine
Seit dem 3. April stellt Microsoft ein Update für alle seine Anti-Virus-Programme zur Verfügung.
Dabei wird eine kritische Schwachstelle für die Malware Protection Engine beseitigt, die z.B. den Windows Defender und Security Essentials betrifft.
Über diese Schwachstelle kann mit präparierten RAR-Archiven (etwa schädliche Email-Anhänge) Code eingeschleust und ausgeführt werden, wenn beispielsweise der Windows Defender die Datei auf Malware überprüft.
Auch diesen Monat gibt es von Microsoft wieder ein Update für das Windows Tool zum Entfernen bösartiger Software.
Microsoft Wireless Keyboard 850
In diesem Funktastaturmodell ändert Microsoft den verwendeten Sicherheitsschlüssel, der die Kommunikation zwischen dem Gerät und dem im Rechner steckenden Sender verschlüsselt.
Dieser AES-Schlüssel war zuvor statisch und wurde von allen Geräten dieses Typs verwendet.
Microsoft stellt mit dem Update sicher, dass jedes Gerät einen eigenen Schlüssel erhält, damit Angreifer diesen nicht auslesen und zum Mitlesen der Tastatureingaben nutzen können.
Ebenso soll durch das Beheben der Schwachstelle verhindert werden, dass Tastatureingaben von anderen Geräten desselben Typs auf dem System getätigt werden können.
Adobe Flash Player
Der seit Windows 8 in Edge und im Internet Explorer integrierte Flash Player erhält auch diesen Monat wieder ein Update von Adobe, welches Microsoft in seinen Updates durchreicht.
Mit diesem Update werden sechs Schwachstellen beseitigt. Drei dieser Schwachstellen werden als kritisch eingestuft.
Hilfe vom Profi
Nicht jede Firma verfügt über eine eigene IT-Abteilung oder eigene IT-Mitarbeiter.
Deswegen empfiehlt es sich sehr, einen IT-Dienstleister zu beauftragen, der sich zuverlässig um Ihr System kümmert und ein Auge auf die Funktionstüchtigkeit Ihrer Hard- und Software hat.
Auch wenn neue Updates Sicherheitslücken schließen, so können trotzdem Probleme mit anderen Programmen entstehen, die in deren Version möglicherweise noch nicht mit den neuen Updates kompatibel sind.
Wir von Kastl & Rieter sorgen nicht nur dafür, dass Ihre Hard- und Software immer aktuell ist, wir stehen Ihnen und Ihren Angestellten auch bei sämtlichen Fragen zum Thema IT zur Seite und helfen beim Trouble-Shooting, wenn es trotz Updates einmal zu Schwierigkeiten kommen sollte.
Im Notfall auch durch Soforthilfe vor Ort.
Zögern sie nicht uns anzurufen ( 0221 / 630 6151 60 ) oder schreiben Sie uns eine Nachricht mit unserem Kontaktformular.
Wir helfen Ihnen gerne!
Ihr Kastl & Rieter IT-Service
Quellen:
https://www.pcwelt.de/a/microsoft-schliesst-kritische-windows-luecken,3450380