Gastkommentar: Patchday Januar 2016 - 6 der Sicherheitsbulletins beseitigen kritische Schwachstellen Gastkommentar: Patchday Januar 2016 - 6 der Sicherheitsbulletins beseitigen kritische Schwachstellen - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


14.01.2016 Wolfgang Kandek*

Gastkommentar: Patchday Januar 2016 - 6 der Sicherheitsbulletins beseitigen kritische Schwachstellen

Der erste Patchday 2016 bringt zwar nur eine kleine Zahl von Updates, doch betreffen diese ein breites Spektrum von Produkten und haben es durchaus in sich: Sechs der neun Sicherheitsbulletins beseitigen kritische Schwachstellen, unter anderem im Windows-Kernel sowie in Office. Außerdem erreichen einige recht wichtige Produkte das Ende ihrer Lebensdauer und werden zum letzten Mal mit Patches versorgt; denn Microsoft stellt den Support für alle älteren Browser auf den verschiedenen Plattformen ein und wird künftig für jede Version seines Betriebssystems nur noch den aktuellsten Browser pflegen.

Wolfgang Kandek ist CTO bei Qualys.

Wolfgang Kandek ist CTO bei Qualys.

© Qualys

Im Einzelnen:

  • Internet Explorer 11 unter Windows 7, 2008 R2, 8.1, 2012 R2, RT und Windows 10 (IE 8, 9 und 10 werden mit MS16-001 letztmalig aktualisiert und erhalten dann keinen Support mehr)
  • Internet Explorer 10 unter Server 2012
  • Internet Explorer 9 unter Vista SP2 und Server 2008 (IE 7 und IE 8 erhalten keinen Support mehr)


Genauer gesagt: Für IE 7 und IE 8 gibt es keine Unterstützung mehr, während IE 9 und IE 10 nur noch auf einigen spezifischen Legacy-Plattformen gepflegt werden. Das erleichtert Microsoft die IE-Pflege, bürdet aber den IT-Managern zusätzliche Arbeit auf, die ihre Browser-Installationen auf den neuesten Stand bringen müssen. Mittelfristig wird so eine bessere und robustere Plattform entstehen, doch auf kurze Sicht werden einige Sicherheitsanfälligkeiten hinzukommen, da die alten Browser keine Updates mehr erhalten. Weitere Informationen stellt Microsoft auf seiner Supportseite  https://support.microsoft.com/en-us/lifecycle#gp/Microsoft-Internet-Explorer zur Verfügung.

Doch zurück zu den aktuellen Patches. An erster Stelle steht hier MS16-005 – jedenfalls dann, wenn User Vista, Windows 7 oder Server 2008 verwenden. Auf diesen Systemen ermöglicht die Sicherheitslücke CVE-2016-0009 Remotecodeausführung (RCE) und sie ist auch bereits öffentlich bekannt gegeben worden. Die neueren Betriebssysteme Windows 8 und Windows 10 sind von dieser Anfälligkeit entweder nicht betroffen oder sie wird dort nur als "hoch" eingestuft.

Die zweithöchste Priorität hat  MS16-004. Dieses Update schließt sechs Sicherheitslücken in Microsoft Office, die Angreifer allesamt in die Lage versetzen können, aus der Ferne Code auszuführen. Microsoft stuft dieses Bulletin als "kritisch" ein, was bei einem Office-Bulletin ungewöhnlich ist. Die als kritisch bewertete Schwachstelle CVE-2016-0010 besteht in sämtlichen Office-Versionen, von 2007 bis 2016, auch auf dem Mac und bei RT.

Als Nächstes stehen Internet Explorer (MS16-001) und Microsoft Edge (MS16-002) auf der Liste. Beide Bulletins gelten als kritisch, da sie Sicherheitslecks stopfen, die Angreifern die Übernahme des Zielrechners ermöglichen, wenn der Benutzer eine schädliche Website im Browser anzeigen lässt. Die beiden Updates schließen jeweils zwei Sicherheitslücken. Im Fall des Internet Explorers ist dies recht ungewöhnlich, da oft 20 Schwachstellen und mehr behoben werden.

MS16-006, das noch verbleibende kritische Bulletin, gilt Silverlight und behebt nur eine Sicherheitsanfälligkeit.

MS16-010 ist ein serverseitiges Update für Microsoft Exchange. Es schließt vier Sicherheitslücken im OWA-Modul von Exchange, die zur Offenlegung von Informationen führen und die Ausführung von Skripten ermöglichen können, wenn eine speziell gestaltete E-Mail dargestellt wird.

Von Microsoft übersprungen wurde hingegen MS16-009. Es ist zu vermuten, dass dieses Bulletin erst noch weiter getestet werden soll, bevor es veröffentlicht wird.

Adobe bringt seine Updates ebenfalls am Patchday heraus; das aktuellste ist  APSB16-02 für Adobe Reader. Es behebt kritische Schwachstellen, die auf der Prioritätsskala jedoch allesamt nur die Stufe "2" erreichen und somit innerhalb der nächsten 30 Tage installieren werden sollten. Die am häufigsten angegriffene Software des Unternehmens, der Flash Player, wird zu gegebenem Zeitpunkt nicht aktualisiert. Oder besser gesagt: Das Update für Januar 2016 wurde schon vorzeitig Ende Dezember 2015 veröffentlicht. Falls User APSB16-01 noch nicht haben, sollten sie sich dringend damit befassen – eine der Anfälligkeiten wird bereits "in the wild" ausgenützt, weshalb Adobe die neue Version außer der Reihe herausgebracht hat.

Darüber hinaus steht diesen Monat das vierteljährliche Update von Oracle an. Es wird am kommenden Dienstag, den 19. Januar, veröffentlicht. User sollten sich hierh auf eine neue Version von Java, MySQL und der Enterprise-Datenbank einrichten.

* Wolfgang Kandek ist CTO bei Qualys.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr
  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr

Hosted by:    Security Monitoring by: