Microsoft will erneut kritische Lecks schließen

SicherheitSicherheitsmanagement

Schon wieder sind schwerwiegende Lücken in Windows und Internet Explorer aufgetaucht. Microsoft kündigt Patches an. Diesmal seien ausnahmslos alle IE-Versionen und Windows von XP bis Server 2008 R2 betroffen. Anfällig seien zudem InfoPath, SharePoint Server, die Office Web Apps und sogar das vermeintlich sichere Windows Defender unter Windows 8 und RT.

Am kommenden Dienstag ist wieder Microsofts monatlicher Patchday. An ihm sollen mehrere als kritisch eingestufte Sicherheitslücken in Windows und Internet Explorer geschlossen werden. Betroffen sind Internet Explorer 6, 7, 8, 9 und 10 sowie Windows XP, Server 2003, Vista, Server 2008, 7 und Server 2008 R2.

ms-patchday_188x141Insgesamt bringt der April-Patchday neun Updates. Sieben sollen Schwachstellen beseitigen, deren Risiko der Softwarekonzern als “hoch” einstuft. Außer Windows und IE sind auch InfoPath 2010, SharePoint Server 2010 und 2013, Groove Server 2010, SharePoint Foundation 2010 sowie die Office Web Apps 2010 anfällig. Eine weitere Lücke steckt in Microsofts Antivirensoftware Windows Defender für Windows 8 und RT.

Die kritischen Lücken ermöglichen einer Vorabmeldung zufolge das Einschleusen und Ausführen von Schadcode. Ein Angreifer könnte mithilfe der anderen Schwachstellen seine Nutzerprivilegien erhöhen und sich beispielsweise selbst Administratorrechte einräumen. Ein Fehler in Windows XP, Server 2003, Vista, Server 2008, 7, Server 2008 R2, 8 und Server 2012 lässt sich für Denial-of-Service-Angriffe missbrauchen.

Unklar ist, ob das Update für Internet Explorer das Loch stopft, das das französische Sicherheitsunternehmen Vupen vor rund einem Monat während des Hackerwettbewerbs Pwn2Own präsentierte. Auf einem Surface Pro mit Windows 8 überwand es die Sandbox des IE10. Google und Mozilla schlossen die in ihren Browsern entdeckten Lücken schon innerhalb weniger Stunden.

Darüber hinaus kündigte Microsoft auch mehrere nicht sicherheitsrelevante Updates an. Sie sollen verschiedene nicht näher genannte Fehler in Windows Embedded Standard 7, Server 2008, Windows 7, Server 2008 R2, 8, Server 2012 und Windows RT beheben. Wie jeden Monat wird es auch eine neue Version des Windows-Tools zum Entfernen bösartiger Software geben.

Die Aktualisierungen werden am kommenden Dienstag etwa ab 19.00 Uhr über Windows Update und die Microsoft-Website verteilt. Da der Konzern im Vorfeld des Patchday grundsätzlich keine Angaben zur genauen Zahl der behobenen Fehler macht, kann es durchaus sein, dass ein Patch gleich mehrere Sicherheitslücken schließt. Im März hatte Microsoft sieben Updates verteilt, die insgesamt 19 Schwachstellen beseitigten.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.