Bei Microsoft gibt es im Juni reichlich Patches für Windows, Office und andere Software wie beispielsweise Azure, Edge, Exchange Server und SQL Server – pünktlich zum gestrigen Patchday am zweiten Dienstag des Monats.
Vier Schwachstellen in der Aufgabenplanung
Die vier Schwachstellen in der Aufgabenplanung (Task Scheduler) von Windows 10 sind schon seit einiger Zeit öffentlich bekannt. Wenn Angreifer dort angreifen, könnten sie es schaffen, sich höhere Rechte zu erschleichen und Systeme möglicherweise sogar komplett übernehmen, warnt Microsoft in einem Beitrag.
Allerdings klappt ein solcher Angriff nur dann, wenn ein Angreifer lokalen Zugriff auf den Computer hat. Microsoft stufte diesen Sicherheitspatch als “wichtig” ein.
Normalerweise dürfen Nutzer der Aufgabenplanung mit einschränkten Rechten mit diesem Werkzeug auch nur Aufgaben mit eingeschränkten Rechten planen. Durch die verschiedenen Schwachstellen in dem Programm könnten Angreifer aber zum Beispiel Systemdateien mit Schadcode versetzen. Nähere Informationen zum Ablauf einer Attacke geben Sicherheitsforscher von Trend Micro in einem Beitrag.
Kritische Sicherheitslücke in der Chakra Scripting Engine
Die gefährlichsten Schwachstellen stecken diesmal in der Chakra Scripting Engine, die für die Speicherverwaltung des Browsers Edge zuständig ist. Wenn ein Angreifer ein Opfer dazu bringt, eine entsprechend präparierte Internetseite zu besuchen, kann das diese Schwachstellen triggern und Speicherfehler auslösen, erklärt Microsoft in einer Warnung. Danach ist der Angreifer mit den Rechten des Opfers versehen. Passiert das im Admin-Kontext, muss der Rechner als kompromittiert betrachtet werden.
Den aktuellen Patch für Adobes Flash Player bekommen die Browser Internet Explorer 11 und Edge unter Windows 8.1 und 10 automatisch.
Weitere wichtige Updates
Außerdem werden mehrere Sicherheitslücken beispielsweise im Windows Audio Service, im Network File System und im Storage Service von Microsoft gepatcht, über die sich Angreifer höhere Rechte aneignen könnten.
Weitere Infos zu den Sicherheitspatches finden Sie in Microsofts Security Update Guide oder in etwas übersichtlicherer in Trend Micros Zero Day Initiative.
