Mega-Patchdays bei Adobe und Microsoft

Monat für Monat veröffentlichen Adobe und Microsoft neue Security-Updates für ihre Software. Diesmal waren es jeweils besonders viele als «wichtig» oder gar «kritisch» eingestufte Sicherheitslöcher, die sie stopfen mussten. So stufte beispielsweise Microsoft dieses Mal 33 der Lücken als wichtig und 18 als kritisch ein. Bei Adobe waren es im Juli deutlich mehr als 100 wichtige und kritische Schwachstellen, die das Unternehmen in seinen Produkten beheben musste.

Der Grossteil dieser Bugs wurde in Acrobat gefunden. Adobe nennt allein für das PDF-Programm rund 107 CVE-Nummern (Common Vulnerabilities and Exposures). Im schlimmsten Fall konnte ein Angreifer die Schwachstellen dazu nutzen, um beim Öffnen einer PDF-Datei Schadcode auf dem betroffenen System auszuführen. Der Patch für Flash schliesst in diesem Monat nur vier Lücken, die unter anderem zum Ausführen von Schadcode aus der Ferne führen konnten.

Ausserdem stellt Adobe je einen Patch für den Experience Manager sowie für Connect bereit. Sie schliessen jeweils drei Sicherheitslöcher, die zum Teil verwendet werden konnten, um fremde Daten auszulesen. In den betroffenen Adobe-Anwendungen empfiehlt es sich, den Update-Prozess manuell über den Befehl «Hilfe, Aktualisieren» anzustossen.

Microsoft hat diesmal 53 Sicherheitslöcher geschlossen. Betroffen sind der Internet Explorer (IE), Edge, ChakraCore, Windows, das .NET Framework, ASP.NET, die PowerShell, Visual Studio sowie Microsoft Office und die Office Services. Unter anderem war es durch die entdeckten Schwachstellen möglich, dass Angreifer mit Hilfe von in E-Mails eingebetteten TrueType-Fonts Schaden anrichten, dass sie gezielt DNS-Server durch manipulierte Anfragen ausser Betrieb setzen oder dass sie aus der Ferne Schadcode in eine PowerShell-Sitzung einschleusen konnten.

Der Grossteil der von Microsoft geschlossenen Lücken dürfte automatisch über den Update-Mechanismus von Windows geschlossen werden. In der Liste finden sich diesmal aber auch Sicherheitslöcher in Wireless-Firmware. Diese müssen manuell eingespielt werden und erfordern deswegen für betroffene Administratoren mehr Arbeit.