Im November stellt Microsoft 53 Sicherheitsupdates für Windows & Co. bereit.
20 Lücken gelten als kritisch, zwei Schwachstellen sorgen derzeit für Diskussionen.
Ab sofort stehen über Windows Update Sicherheitspatches für .NET Core, ASP.NET, Chakra Core, Edge, Internet Explorer, Office und Windows bereit. Insgesamt sind es am Patchday im November 53 Sicherheitsupdates. Davon stuft Microsoft den Bedrohungsgrad von 20 Lücken als "kritisch" ein. 31 Patches gelten als "wichtig" und drei als "moderat". Vier Sicherheitslücken sollen bereits publik sein – Angriffe gibt es Microsoft zufolge derzeit aber nicht. Als kritisch gelten Schwachstellen in Edge, Internet Explorer und Scripting Engine. Dabei handelt es sich um Speicherfehler und Angreifer können Schadcode auf Computer bringen und ausführen. Bei den Webbrowsern soll der Besuch einer präparierten Webseite einen erfolgreichen Angriff einleiten. Dieses Angriffsszenario soll auch bei der Scripting Engine funktionieren. Nutzen Angreifer die als "wichtig" eingestuften Lücken aus, sollen sie etwa über Edge und Internet Explorer und Windows Kernel Informationen von Computern kopieren können.
Lücken mit Diskussionsbedarf
Aufgrund eines Fehlers ist die Makro-Funktion in Excel nicht verlässlich deaktiviert. Wenn Angreifer Opfern eine Tabelle mit Makros unterschieben und sie dazu bringen diese zu öffnen, soll Excel die Makros nicht blocken. Über Makros gelangen vor allem Erpressungstrojaner auf Computer. Microsoft stuft den entsprechenden Patch als "wichtig" ein. Diverse Sicherheitsforscher sehen das als gefährlicher an. Auch eine Lücke im Device Guard sorgt für Diskussionen unter Sicherheitsforschern. Hacker könnten die Schwachstelle ausnutzen, um dem Device Guard auszutricksen, einer unsignierte Datei zu vertrauen. Microsoft stellt zudem das aktuelle Sicherheitsupdate für Adobes Flash bereit. Edge und der Internet Explorer 11 für Windows 8.1 und 10 bekommen das Update automatisch. Microsoft stellt Informationen über die gepatchten Sicherheitslücken im Security Update Guide bereit. Allerdings ist die Auflistung alles andere als übersichtlich. Eine viel besser aufbereitete Liste findet sich zum Beispiel im Patchday-Blog-Artikel von Trend Micros Zero Day Initiative.