Juli 2016 - Ein fast 0-Day-freier Patchday
Am Juli-Patchday hat Microsoft lediglich zwei 0-Day-Schwachstellen behoben, die aber beide bisher nicht für Angriffe ausgenutzt werden. Und Adobe hat zwar 52 Schwachstellen im Flash Player behoben, von denen die meisten das Ausführen eingeschleusten Codes erlauben, ausnahmsweise wird diesmal aber keine davon bereits für Angriffe ausgenutzt. Eben so wenig wie eine der 30 Schwachstellen, die in Adobe Acrobat und Reader behoben wurden. Und von denen ebenfalls die meisten das Ausführen eingeschleusten Codes erlauben.
Informationsleck im Windows-Kernel
Das Security Bulletin MS16-092 enthält die erste 0-Day-Schwachstelle des Juli-Patchdays: CVE-2016-3272 ist ein Informationsleck im Windows-Kernel, über das ein Angreifer mit Hilfe einer präparierten Anwendung Informationen über eine andere Anwendung erlangen kann.
Microsoft bedankt sich für die Meldung der Schwachstelle bei Herbert Bos von der Vrije Universiteit Amsterdam, weitere Informationen liegen bisher nicht vor.
Umgehen von Secure Boot möglich
Die zweite 0-Day-Schwachstelle hat die CVE-ID CVE-2016-3287 und findet sich im Security Bulletin MS16-094. Sie erlaubt das Ausschalten der Code-Integritäts-Prüfungen von Secure Boot, so dass testweise signierte Programme und Treiber ausgeführt werden können. Außerdem können die Integritätsprüfungen von Bitlocker und Geräteverschlüsselung (Device Encryption) ausgeschaltet werden.
Für alle Angriffe benötigt der Angreifer aber Administrator-Rechte oder physikalischen Zugriff auf das Gerät, um eine betroffene Policy zu installieren. Der Patch besteht darin, die betroffenen Policies auf die Blacklist zu setzen, so dass sie nicht mehr verwendet werden können.
Für die Meldung dieser Schwachstelle bedankt sich Microsoft bei niemanden, und es liegen auch keine weiteren Informationen darüber vor.
Und jetzt, wie üblich: Updates installieren
Immer der Reihe nach, die kritischen zuerst. So beliebt, wie der Flash Player bei den Cyberkriminellen ist, würde ich mit dem anfangen. Wenn ich ihn noch installiert hätte. Was ja schon länger nicht mehr der Fall ist. Ebenso wenig wie den Adobe Reader. Ich kann also gleich bei den kritischen Microsoft-Bulletins beginnen. Nachdem ich etwas gewartet habe, ob Probleme gemeldet werden heißt, es dann "Microsoft Update, übernehmen sie!".
Trackbacks
Dipl.-Inform. Carsten Eilers am : Microsoft: Ein 0-Day-Exploit und eine 0-Day-Schwachstelle am September Patchday
Vorschau anzeigen