Patchday August 2015: Patches für Windows 10 & Co

Wolfgang Kandek (CTO)~20110624

von Wolfgang Kandek, CTO Qualys

Dies ist der erste Patchday seit der Einführung von Windows 10, wobei 40 Prozent der generischen Windows-Bulletins im August diese jüngste Version des Betriebssystems betreffen. Zudem gibt es ein exklusives Bulletin für den neuen Browser Microsoft Edge, den Nachfolger des Internet Explorers, das drei kritische Sicherheitslücken schließt. Windows 10 schneidet somit etwas besser ab als Windows 8, das in den ersten zwei Monaten nach seiner Einführung bereits auf einen Patch-Anteil von 60 Prozent kam – drei von fünf Sicherheitsbulletins galten damals auch für die neueste Betriebssystem-Version. Sicherheitstechnisch bringt Windows 10 viele Verbesserungen, weshalb man gespannt sein darf, wie sich seine Akzeptanz entwickeln wird – vor allem im Vergleich zwischen Unternehmen und Konsumenten. Als größten Fortschritt auf Unternehmensseite ist der Virtual Secure Mode anzusehen, der die Passwort-Hashes aus dem Windows-Kernel entfernt. Bei den Konsumenten hingegen ist der wichtigste Fortschritt das neue Update-System, das im Wesentlichen dafür sorgt, dass Windows stets über die neuesten Patches verfügt.

Von der Sicherheitsperspektive her betrachtet empfiehlt sich das Upgrade auf Windows 10. Da es sich hierbei um ein kostenloses Upgrade handelt, ist anzunehmen, dass sich viele die Mühe machen werden, auf die neue Version umzusteigen. Sowohl im Hinblick auf den Umstieg von Unternehmen (ersichtlich aus den Qualys-Tools) als auch von Konsumenten (ersichtlich aus den Browsercheck) wird Qualys hier bald aktuelle Zahlen liefern.

Insgesamt gibt es im August 14 Bulletins, von MS15-079 für den Internet Explorer bis MS15-092 für .NET.

Die höchste Priorität gilt diesen Monat dem Update MS15-081 für Microsoft Office, das als kritisch einzustufen ist. Bei Office-Bulletins ist dies selten der Fall, da Microsoft eine Sicherheitsanfälligkeit in der Regel als weniger gravierend ausweist, wenn sie eine Benutzeraktion wie etwa das Öffnen einer docx-Datei erfordert. CVE-2015-2466 wird für Office 2007 und Office 2010 jedoch als kritisch bewertet, was darauf schließen lässt, dass die Schwachstelle automatisch ausgelöst werden kann, möglicherweise über das Outlook E-Mail-Vorschaufenster, und dass sie Remotecodeausführung (RCE) ermöglicht. Hierdurch erhält der Angreifer die Kontrolle über den anvisierten Computer. Zudem stopft MS15-081 mit CVE-2015-1642 ein Sicherheitsleck, das bereits real ausgenutzt wird – Nutzer von Microsoft Office 2007, 2010 oder 2013 sind somit ein potenzielles Angriffsziel.

Desweitern gibt es ein Betriebssystem-Update für sämtliche Versionen von Windows. MS15-085 schließt eine Zero-Day-Lücke im Windows Installationsmanager. Diese wird durch einen USB-Stick ausgelöst, der mit dem Ziel-Computer verbunden wird, und kann genutzt werden, um Code auf dem Computer auszuführen. Da die Lücke bereits ausgenutzt wurde, ist dies ein wichtiges Update für alle Rechner eines Users, die sich nicht in überwachten Umgebungen befinden.

Der Internet Explorer (IE) wird mit MS15-089 aktualisiert. Dieses Update behebt 13 Schwachstellen, von denen zehn Remotecodeausführung ermöglichen. Die Schwachstellen betreffen alle unterstützten Betriebssysteme, von IE7 auf Windows Vista bis einschließlich IE11 auf Windows 8.1 RT und Windows 10. Zu beachten ist, dass die Kombination IE6/7 und Windows 2003 in den Bulletins nicht aufgeführt wird, weil Windows 2003 im vergangenen Monat sein Support-Ende erreicht hat. Es ist jedoch davon ausgehen, dass Windows 2003 ebenfalls anfällig ist, da jedes Internet Explorer Bulletin im Jahr 2015 auch Fixes für IE unter Windows 2003 umfasste. Es ist nur eine Frage der Zeit, bis ein Exploit für Internet Explorer auftaucht, der dann unter Windows 2003 nicht gepatcht werden kann. Gemindert wird das Risiko einzig dadurch, dass 2003-Anwender den Internet Explorer vermutlich nicht oft nutzen, da es sich um ein Server-Betriebssystem handelt.

Apropos Browser: In der vergangenen Woche wurde bekannt, dass die Version 39 von Firefox durch eine Sicherheitslücke im integrierten PDF-Reader gefährdet ist, über die ein Angreifer auf dem Computer Dateien abgreifen kann (wie etwa /etc/passwd oder Dateien zur Kommandozeilen-Historie unter Linux und Mac OS X). Mozilla veröffentlichte daraufhin mit v39.0.3 ein Update, das das Problem behebt. Nähere Informationen zu der Lücke enthält dieser Post im Mozilla-Blog.

Weiter geht es mit dem monatlichen Update für Adobe Flash. APSB15-19 stopft 34 Sicherheitslücken, die mit einer Ausnahme alle als kritisch gelten und RCE ermöglichen können. Allerdings sind derzeit keine Exploits für Adobe Flash bekannt. Nutzer von Google Chrome und IE10/11 erhalten ihre Updates über den jeweiligen Browser, während Nutzer von Firefox/Safari/Opera die Adobe-Website besuchen müssen, um Flash manuell zu aktualisieren.

Zurück zur Microsoft-Liste: MS15-080 ist ein Update für die Microsoft-Schriftverarbeitung, das 16 Schwachstellen behebt. Die Schwachstellen werden als kritisch bewertet und können über jede Anwendung ausgenutzt werden, die auf Schriftarten zugreift: Webbrowser, E-Mail und Dokumente. Alle Versionen von Windows sind betroffen, einschließlich Windows 10. Einige der Sicherheitslücken betreffen auch andere Software, wie .NET, Lync, Silverlight und Office, die ebenfalls als anfällig aufgeführt sind.

MS15-083 ist eine interessante RCE-Schwachstelle im SMB-Protokoll, die allerdings nur Computer mit den Betriebssystemen Vista und Server 2008 betrifft. Wird auf diesen Betriebssystemen SMB via Internet zugänglich gemacht, sollte dieses Update hohe Priorität haben.

Die restlichen Bulletins beheben kleinere Gruppen von Schwachstellen in diversen Technologien: XML-Verarbeitung (MS15-084), XSS in Biztalk (MS15-087), SSLv2 Man-in-the-Middle in WebDAV (MS15-089) sowie Sicherheitsanfälligkeiten in einer neuen Version von .NET (MS15-092).

Und last but not least: Mit MS15-091 erhalten die Windows-10-Nutzer eine aktualisierte Version des neuen Browsers Edge, die drei der bei MS15-079 erwähnten RCE-Schwachstellen beseitigt.