Auch im Juni heißt es für Windows-Nutzer wieder Patches einspielen: Microsoft hat diesen Monat 16 Sicherheitsupdates veröffentlicht. Fünf davon gelten als kritisch, darunter die Sammel-Updates für die beiden Browser Edge und Internet Explorer. Elf weitere Lücken werden von Microsoft als wichtig eingestuft. Eine dieser Lücken betrifft alle Windows-Versionen seit Windows 95 und kann dazu missbraucht werden, Windows-Nutzer auszuspionieren.

Die kumulativen Browser-Updates verdienen besondere Beachtung. Der Edge-Browser kann über manipulierte Webseiten gekapert werden, was es den Angreifern erlaubt, Schadcode auszuführen. Die Versionen 9 und 11 des Internet Explorers haben Sicherheitslücken mit ähnlichen Auswirkungen. Beim Internet Explorer 10 ist die Lage weniger kritisch, die Patches sollten aber auch hier schnellstmöglich installiert werden.

BadTunnel

Sicherheitslücken im Windows-Modul Web Proxy Auto Discovery (WPAD) können dazu missbraucht werden, den Netzwerk-Verkehr des Opfers zu manipulieren. Microsoft schätzt die Sicherheitslücke nicht als kritisch ein, aber laut einer Meldung bei Forbes können Angreifer aus dem Internet sie über Microsofts Browser ausnutzen und so den Netzwerkverkehr des Opfers über den eigenen Rechner umleiten. Der Sicherheitsforscher, der die Lücke entdeckte, nennt sie "BadTunnel" und will sie auf der Black-Hat-Konferenz in Las Vegas im August vorstellen. Seiner Aussage nach kann ein Angreifer damit Windows-Update-Downloads manipulieren oder unverschlüsselten Traffic der Opfer ausspähen.

Die Lücke wurde für alle unterstützten Windows-Versionen geschlossen, soll aber alle Windows-Versionen seit Windows 95 betreffen. Nutzern von nicht mehr unterstützten Windows-Versionen bleibt nicht anderes übrig, als NetBIOS über TCP/IP zu deaktivieren, um sich vor der Lücke zu schützen.

Des weiteren schließt Microsoft Lücken im DNS-Server von Windows Server 2012 und 2012 R2, in Microsoft Office, in den JScript- und VBScript-Engines von Windows sowie im Kernel und diversen Windows-Komponenten.

Kritische Updates

MS16-063 Cumulative Security Update for Internet Explorer

MS16-068 Cumulative Security Update for Microsoft Edge

MS16-069 Cumulative Security Update for JScript and VBScript

MS16-070 Security Update for Microsoft Office

MS16-071 Security Update for Microsoft Windows DNS Server

MS16-072 Security Update for Group Policy

MS16-073 Security Update for Windows Kernel-Mode Drivers

MS16-074 Security Update for Microsoft Graphics Component

MS16-075 Security Update for Windows SMB Server

MS16-076 Security Update for Netlogon

MS16-077 Security Update for WPAD

MS16-078 Security Update for Windows Diagnostic Hub

MS16-079 Security Update for Microsoft Exchange Server

MS16-080 Security Update for Microsoft Windows PDF

MS16-081 Security Update for Active Directory

MS16-082 Security Update for Microsoft Windows Search Component

Windows-Anwender können die Sicherheitsupdates wie gewohnt über Microsoft Update installieren, wenn dies nicht bereits automatisch geschehen ist. Für Windows 10 verteilt Microsoft die Patches wie immer als kumulatives Update und behebt dabei auch einige nicht-sicherheitsrelevante Probleme. Eine Liste dieser Verbesserungen pflegt Microsoft im Windows-10-Updateverlauf. (fab)