Am Patchday im Juni sichert Microsoft Edge, Internet Explorer, Office und Windows ab. Insgesamt bügeln Sicherheitsupdates 50 Fehler aus, die die Sicherheit von Computern gefährden. Elf Schwachstellen gelten als "kritisch". Die Patches für die restlichen 39 Lücken stuft Microsoft als "wichtig" ein.

Remote Code Execution
Die kritischste Lücke in diesem Monat klafft im Windows Domain Name System (DNS) DNSAPI.dll. Für eine erfolgreiche Attacke muss ein Angreifer lediglich über einen DNS-Server eine präparierte DNS-Rückmeldung an ein verwundbares System schicken. Anschließend soll er Schadcode ausführen können. Davon sind Windows 7 bis 10 und verschiedene Ausgaben von Windows Server betroffen.

Eine kritische Lücke in Internet Explorer war schon vorab bekannt – bislang gibt es Microsoft zufolge aber noch keine Attacken. Für einen erfolgreichen Angriff soll der Besuch einer von Angreifern speziell vorbereiteten Webseite ausreichen. Microsoft warnt, dass die Initialisierung eines Übergriffs auch über präparierte Werbeelemente stattfinden kann, die eine beliebige Webseite aus einem Werbenetzwerk bezieht. Ist eine Attacke erfolgreich, soll ein Angreifer Schadcode mit den Rechten des Opfers ausführen können. Hat ein Opfer Admin-Rechte, gilt ein Computer als kompromittiert.

Derartige Speicherfehler-Lücken klaffen auch in Edge. Das Angriffsszenario ist ähnlich. Alternativ sollen Attacken auch über manipulierte Dokumente möglich sein, die ein Opfer öffnen muss.

Wichtige Sicherheitsupdates
Weitere Schwachstellen finden sich in verschiedenen Windows-Komponenten wie Kernel und Device Guard. Nutzen Angreifer die Lücken aus, sollen sie unter anderem Zugriff auf eigentlich abgeschottete Informationen bekommen können. Auch das Umgehen von Sicherheitsmechanismen und das Erschleichen von höheren Nutzerrechten ist möglich.
Quelle und weitere Informationen : https://www.heise.de/security/meldun...n-4077270.html