Microsoft sichert Windows und Browser gegen Angriffe ab

Microsoft hat Sicherheitsupdates für Windows, aber auch für Dynamics 365, Edge, ChakraCore, Internet Explorer, Office (nebst Services und Web-Apps), SQL Server Management Studio, den Update-Assistenten sowie verschiedene Open-Source-Software veröffentlicht. Auch ein Servicing Stack Update (SSU) ist verfügbar.

Insgesamt hat Microsoft seine Produkte gegen 59 Sicherheitslücken abgesichert. Nutzer sollten sichergehen, dass die für ihr Betriebssystem beziehungsweise die von ihnen verwendete Software verfügbaren Aktualisierungen installiert werden. Das passiert (etwa via Windows Update) meist automatisch.

Neun kritische Sicherheitslücken
Neun der geschlossenen Lücken gelten als kritisch. Sie sind durchweg aus der Ferne ausnutzbar und betreffen Azure App Service (CVE-2019-1372), die im Edge-Browser verwendete Chakra Scripting Engine (CVE-2019-1307, CVE-2019-1308, CVE-2019-1335, CVE-2019-1366), Remote Desktop Client (CVE-2019-1333) und VBScript (CVE-2019-1060, CVE-2019-1238, CVE-2019-1239). Angreifer könnten sie unter anderem ausnutzen, um aus der Ferne Code auf den verwundbaren Systemen auszuführen oder ihre Zugriffsrechte zu erweitern.

Die vier Lücken in Edges Scripting-Engine lassen sich über eine speziell präparierte Website missbrauchen: Besucht der Nutzer diese, könnte der Angreifer mittels des Exploits dessen Zugriffsrechte erlangen und in diesem Kontext beliebigen Code ausführen. Die beiden VBScript-Lücken sind in ähnlicher Weise auf den Internet Explorer anwendbar.

Bis auf eine Ausnahme – eine als "moderate" eingestufte Lücke im Redirected Drive Buffering SubSystem (RDBSS) – hat Microsoft die übrigen CVEs durchweg als "important" gekennzeichnet.
Quelle und weitere Informationen : https://www.heise.de/security/meldun...b-4549555.html