Monthly Patchday
14.11.2019, 07:07 Uhr
Microsoft behebt 13 kritische Sicherheitslücken
Microsofts monatlicher Security-Patch ist da. Die Redmonder beheben damit insgesamt 74 Schwachstellen - 13 davon gelten als kritisch. Eine besonders gefährliche Lücke im Internet Explorer wurde von Kriminellen bereits aktiv ausgenutzt.
Microsoft hat sein monatliches Sicherheitsupdate für Windows ausgerollt und stopft damit insgesamt 74 Sicherheitslücken - 13 davon stuft der Konzern als kritisch ein. Eine besonders schwerwiegende Lücke wurde diesmal im Internet Explorer ausfindig gemacht und behoben.
Das Leck befand sich in der Skript-Engine des Browsers. Bei einem Angriff hätten Hacker die Möglichkeit gehabt, den Speicher derart zu beschädigen, dass sie dieselben Rechte wie die des aktiven Nutzers erlangt hätten. Besonders problematisch ist dies, wenn der Anwender als Administrator angemeldet ist. So hätten Angreifer zum Beispiel die Möglichkeit, beliebigen Code auszuführen, das System des Opfers komplett zu übernehmen oder auch beliebige Software auf dem Gerät zu installieren. Um ins Netz der Kriminellen zu gehen, müsste der Nutzer lediglich eine speziell präparierte Webseite besuchen. Das Schliessen der Schwachstelle war unter anderem deshalb so dringend, weil sie bereits aktiv ausgenutzt wurde, wie Microsoft in einer Sicherheitswarnung mitteilt.
Kritische Lücke in Hyper-V entdeckt
Neben dem Internet Explorer wurde eine weitere kritische Sicherheitslücke in Hyper-V identifiziert. Ein Fehler hätte hier dazu führen können, Angreifer Schadcode im Hosts-System ausführen zu lassen. Weitere kritische Schwachstellen befanden sich in Microsoft Exchange und im Edge Browser.
Neben den 13 kritischen Schwachstellen stuften die Redmonder alle anderen Lecks mit der Gefahrenstufe "hoch" ein. Diese hätten Hacker unter anderem dazu befähigt, erweitere Rechte in Windows zu erlangen. Allerdings war es zur Ausnutzung erforderlich, bereits am System angemeldet zu sein. Gefunden hatten Experten die Lücken in unterschiedlichen Versionen des Microsoft-Betriebssystems.
Das Update wird automatisch an die Nutzer verteilt und sollte möglichst zeitnah installiert werden. Neben der bereits ausgenutzten Lücke im Internet Explorer, haben Kriminelle nun eine genaue Auflistung aller möglichen Angriffspunkte.