Am Patchday in diesem Monat hat Microsoft Sicherheitsupdates für unter anderem Edge, Exchange, Internet Explorer, Office, Scripting Engine und verschiedene Windows-Versionen veröffentlicht. Damit schließen sie insgesamt 32 Sicherheitslücken. Davon gelten 20 als kritisch. Zwölf Updates hat Microsoft als "wichtig" eingestuft.

Kritische Windows-Lücken
Der Großteil der als gefährlich eingestuften Lücken klafft in der Scripting Engine von Edge und Internet Explorer. Lockt ein Angreifer ein Opfer auf eine präparierte Webseite, kann dies einen Speicherfehler auslösen. So könnten Angreifer Schadcode aus der Ferne auf anfälligen Computern ausführen.

Im Kontext der kritischen Lücken verweist Microsoft abermals auf zwei Schwachstellen in der Malware Protection Engine, die unter anderem beim Virenscanner Windows Defender zum Einsatz kommt. Dafür hat Microsoft bereits außer der Reihe einen Notfallpatch veröffentlicht. Zum Ausnutzen müsste ein Angreifer Opfern lediglich eine präparierte Datei unterschieben, die der Scanner untersuchen muss. Anschließend ist Remote Code Execution möglich.

Weitere Sicherheitsupdates
Nutzt ein Angreifer die als "wichtig" eingestuften Lücken aus, kann er beispielsweise Informationen von Webbrowsern abziehen. Zudem warnt Microsoft davor, dass Angreifer den Device Guard austricksen könnten, sodass dieser eine Datei mit Schadcode als vertrauenswürdig einstuft.

Microsoft stellt Informationen über die gepatchten Sicherheitslücken im Security Update Guide bereit. Allerdings ist die Auflistung alles andere als übersichtlich. Eine viel besser aufbereitete Liste findet sich zum Beispiel im Patchday-Blog-Artikel von Ciscos Talos-Team.

Sicherheitshinweise
In einem separaten Hinweis informiert Microsoft über ein Word-Update, welches das Dynamic-Update-Exchange-Protokoll (DDE) deaktiviert. Einige Malware setzt auf DDE-Exploits. Diese sollte so ausgesperrt bleiben. In einem zweiten Beitrag weist Microsoft auf ein Exchange-Update hin, das die Sicherheit steigern soll.

[UPDATE]
Bei einigen Windows-7-Nutzern taucht beim Update der Fehlercode 80248015 auf und sie können keine Patches installieren. Dabei handelt es sich um einen Datums-Bug in einer für den Update-Prozess benötigten Windows-Datei.
Damit das Updaten trotzdem klappt, müssen Betroffene ihre Systemzeit einmalig auf den 02.12.2017 stellen und den Computer neu starten. Anschließend sollten die Updates wieder wie gewohnt funktionieren.
Quelle & weitere Informationen : https://www.heise.de/security/meldun...g-3916926.html