Von Microsoft gibt es im Juni Patches für Windows, Office, Azure, Edge, Exchange Server und SQL Server – pünktlich zum Patchday am zweiten Dienstag des Monats.
In der Aufgabenplanung stecken vier Schwachstellen
Die Schwachstellen in der Aufgabenplanung (Task Scheduler) von Windows 10 sind schon etwas länger öffentlich bekannt. Wenn Angreifer dort ansetzen, könnte es ihnen gelingen, sich höhere Rechte zu erschleichen und die Systeme eventuell sogar komplett übernehmen, warnt Microsoft in einem Beitrag.
Ein solcher Angriff klappt aber nur dann, wenn der Angreifer lokalen Zugriff auf den Computer hat. Deshalb stufte Microsoft diesen Sicherheitspatch nur als “wichtig” ein.
Eigentlich dürfen Benutzer der Aufgabenplanung mit einschränkten Rechten mit diesem Tool auch nur Aufgaben mit entsprechend eingeschränkten Rechten planen. Durch die Schwachstellen in dem Programm könnten Angreifer aber doch zum Beispiel Systemdateien mit Schadcode versetzen. Nähere Informationen zum Ablauf einer solchen Attacke geben Sicherheitsforscher von Trend Micro in einem Beitrag.
Die Chakra Scripting Engine hat eine kritische Sicherheitslücke
Die gefährlichsten Lücken stecken in der Chakra Scripting Engine, die den Speicher des Browsers Edge verwaltet. Bringt ein Angreifer ein Opfer dazu, eine entsprechend präparierte Internetseite aufzurufen, kann schon das diese Schwachstellen triggern und dann Speicherfehler auslösen, erklärt Microsoft in einer Warnung. Danach ist der Angreifer mit den Rechten des Opfers ausgestattet. Geschieht das im Admin-Kontext, muss der Rechner als kompromittiert betrachtet werden.
Den aktuellen Patch für Adobes Flash Player bekommen die Browser Internet Explorer 11 und Edge unter Windows 8.1 und 10 automatisch.
Sonstige wichtige Updates
Darüber hinaus werden mehrere Sicherheitslücken im Windows Audio Service, im Network File System und im Storage Service von Microsoft gepatcht, über die sich Angreifer ebenfallshöhere Rechte aneignen könnten.
Weitere Infos zu den Juni-Sicherheitspatches finden Sie in Microsofts Security Update Guide oder in übersichtlicherer Form in Trend Micros Zero Day Initiative.
