Microsoft hat kürzlich ein außerplanmäßiges Windows 10 Update für alle unterstützten Versionen des Betriebssystems veröffentlicht. Damit wird eine kritische Sicherheitslücke behoben, welche das System angreifbar gemacht hatte.
Das Problem betrifft den Umgang der Scripting Engine des Internet Explorers im Zusammenhang mit Objekten im RAM. Die Lücke hätte Objekte im Speicher auf eine solche Weise korrumpieren können, dass Angreifer einen beliebigen Schadcode ausführen hätten können im Kontext des aktuellen Benutzers. Wäre der Anwender also als Admin eingeloggt, könnte Schadcode mit entsprechenden Rechten auch Teile des Systems verändern.
Im Web hätte ein Angreifer eine Webseite hosten können, welche dazu gedacht ist, diese Lücke auszunutzen. Diese Lücke betrifft keine anderen Microsoft-Browser, sondern eben nur den Internet Explorer. Die meisten Nutzer dürften damit vor derartigen Angriffen ohnehin bereits sicher sein.
Das Update mit der Behebung der Sicherheitslücke wird interessanterweise nur als Delta-Update ausgeliefert. Diese enthalten normalerweise keine Sicherheitspatches, sondern meist nur kleinere Bugfixes und einzelne Verbesserungen. Es wird für Windows 10 Version 1903 als optionales Update mit der Bezeichnung KB4522016 in Windows Update angezeigt. Bei älteren Systemen wird es unter jeweils verschiedenen Bezeichnungen dann installiert, wenn Anwender manuell nach Aktualisierungen suchen.
- 1903: KB4522016 (build 18362.357)
- 1809: KB4522015 (build 17763.740)
- 1803: KB4522014 (build 17134.1009)
- 1709: KB4522012 (build 16299.1392)
- 1703: KB4522011 (build 15063.2046)
- 1607: KB4522010 (build 14393.3206)
- 1507: KB4522009 (build 10240.18334)
Quelle: Microsoft
