Patchday April 2015: Patches für Windows und Office

Seefeld (ots) -

Von Wolfgang Kandek, CTO von Qualys

Mit dem April-Patchday setzt sich der Trend zu umfangreichen
Update-Paketen fort. Microsoft liefert diesen Monat elf Updates aus,
die 26 Sicherheitslücken stopfen. Die Lücken finden sich in Windows
und Office und betreffen Server und Workstations. Oracle
veröffentlicht sein Critical Patch Update, das diesmal 100
Anfälligkeiten in mehr als 25 Software-Kategorien behebt, darunter
Java, Oracle RDBMS und MySQL.

Microsoft: Es gibt elf Bulletins, MS15-032 bis MS15-042, vier
davon kritisch:

Patch Nummer eins ist MS15-033, das Office-Bulletin. Es behebt
fünf Schwachstellen, die Remotecodeausführung (RCE) ermöglichen,
darunter eine Zero-Day-Lücke. Diese Lücke, CVE-2015-1641, wird in
Word 2010 bereits aktiv angegriffen. Die Schwachstelle betrifft Word
2007, 2012 und 2011 auf dem Mac. Ein Angreifer mailt eine
manipulierte Datei oder einen Link. Ist diese Mail geschickt
formuliert, sind Öffnungsraten von mehr als zehn Prozent garantiert.

Dieses Update schließt die kritischen Sicherheitslücken
CVE-2015-1649 und 1651. Beide sind RCE-Schwachstellen, die in Office
2007 und 2010 schon durch bloßes Ansehen einer E-Mail im
Outlook-Vorschaufenster ausgenutzt werden können. Das
Outlook-Vorschaufenster rendert RTF-Dateien und wurde 2014 mit einem
Zero-Day-Exploit angegriffen. Damals wies Microsoft darauf hin, dass
das Toolkit EMET vor Angriffen schützt; diesmal gibt es keine
Informationen dazu.

Patch Nummer zwei ist MS15-034 für eine RCE-Schwachstelle in
Servern. Das Update schließt die Lücke CVE-2015-1635 im HTTP-Stack
bei Windows Server 2008 und 2012 und betrifft Windows 7 und 8. Diese
Sicherheitslücke wird genutzt, um unter dem IIS-Benutzerkonto Code
auf dem IIS-Webserver eines Users auszuführen. Er verwendet einen
Exploit für eine zweite lokale Schwachstelle (EoP), um Rechte zu
erweitern, Administrator zu werden und dauerhaften Exploit-Code zu
installieren. Verteilen Nutzer den Patch nicht sofort, ist es ratsam,
sich die vorgeschlagene Problemumgehung mittels der
IIS-Zwischenspeicherung anzusehen. Dies ist wichtig, wenn sie
Windows-basierte Webserver betreiben.

Auf Platz drei ist APS15-06 für Adobe Flash. Adobe räumt ein, dass
eine der Sicherheitslücken (CVE-2015-3043) bereits aktiv missbraucht
wird. Dieser Anfälligkeit sollte unbedingt hohe Priorität gegeben
werden, sofern nicht mit Chrome oder neueren IE-Versionen gearbeitet
wird.

Auf Platz vier ist MS15-032, das kumulative Update für Internet
Explorer. Es behebt zehn Schwachstellen, von denen neun als
"kritisch" gelten. Sämtliche Versionen von IE6 unter Windows 2003 bis
zu IE11 in der neuesten Windows-Version 8.1. sind betroffen. Der
Angreifer muss den Benutzer dazu bringen, eine bösartige Webseite zu
öffnen. Das geschieht, indem Angreifer Links verschicken oder eine
beliebte Website kontrollieren. Diese Methode hat Aufwind bekommen
wegen Schwachstellen in CMS-Systemen, die die Kontrolle von Tausenden
von Webservern ermöglichen, zum Beispiel bei der Angriffswelle
SoakSoak (http://ots.de/SOHku).

Das letzte Update ist MS15-035 für eine Sicherheitslücke im
Grafikformat EMF. Hier braucht der Angreifer User-Hilfe, um den
Exploit auszuführen; der Benutzer muss eine Bilddatei anzeigen
lassen. Mögliche Angriffsvektoren sind der Website-Besuch, das Öffnen
einer E-Mail oder das Ansehen eines Fileshares. Die Schwachstelle ist
auf ältere Versionen beschränkt wie Windows 7, Vista, Server 2003 und
2008. Windows-Desktop-Versionen 8 und 8.1 sind nicht betroffen;
Ähnliches gilt für Windows Server 2008 R2 und 2012.

Pressekontakt:
Ursula Kafka
Kafka Kommunikation für Qualys
ukafka@kafka-kommunikation.de
Tel: +49 89 74747058-12