Microsoft stopft dutzende Sicherheitslücken

Wie üblich hat Microsoft pünktlich zum monatlichen Patchday ein Sicherheitsupdate für seine Produkte veröffentlicht. Dabei wurden insgesamt mehrere Dutzend Lücken gestopft. Betroffen waren die Browser Internet Explorer und Microsoft Edge sowie Windows, Microsoft Office (Office Service und Web Apps), ASP.NET Core und .NET Core und Chakra Core.

Besonders heikel waren die Lücken in den beiden Browsern Microsoft Edge und Internet Explorer sowie in der Scripting Engine. Surfte der Nutzer eine eigens dafür präparierte Webseite an, bestand für Hacker dank der Fehler die Möglichkeit, Schadecode auf den Rechner des Opfers zu spielen.

In Microsofts Tabellenkalkulation Excel klaffte indes eine Lücke bei der Makro-Funktion. Diese hatte zur Ursache, dass sich das Ausführen von Makros nicht sicher deaktivieren ließ. Gelingt es Hackern, eine Tabelle mit Makros auf den Rechner des Opfers zu platzieren, sollte Excel hierbei eigentlich das Öffnen dieser Datei beziehungsweise das Ausführen dieser Makros verhindern. Dies war jedoch nicht immer der Fall. Mithilfe von Makros können Kriminelle Schadcode auf dem Rechner der Opfer ausführen.

Etwas verwunderlich ist hierbei, das Microsoft die Lücke nur als "wichtig", nicht aber als "kritisch" bewertet. Angreifer könnten darüber erheblichen Schaden anrichten.

Eine weitere Sicherheitslücke befand sich in Microsofts Device Guard, einer Featuregruppe, über die Unternehmen festlegen können, welche Software Code auf einem Clientcomputer ausführen darf. Das Sicherheitsleck erlaubte es Cyberkriminelle das Programm dazu bringen, einer unsignierten Datei zu vertrauen.

Wie üblich liefert Microsoft mit dem monatlichen Patch auch Sicherheitsupdates von Adobe mit aus. Die Fehler werden von Adobe allesamt als kritisch eingestuft. Mittels einiger dieser Lücken sind Angreifer in der Lage, Code auf dem Rechner der Opfer auszuführen.

Nutzer sollten die Sicherheitsupdates schnellstmöglich installieren, wenn dies nicht bereits automatische geschehen ist.