Microsoft patcht fast 50 Lücken in Windows, Office und Internet Explorer

BrowserOffice-AnwendungenSicherheitSoftwareWorkspace
Microsoft-Patchday (Bild: silicon)

Als besonders wichtig bezeichnet der Konzern die Updates für Outlook 2007 und 2010 sowie alle Versionen seines Browsers. In Outlook lässt sich die Anzeige einer manipulierten E-Mail in der Vorschau zum Ausführen von Remotecode missbrauchen. Insgesamt bekommen Nutzer am September-Patchday 47 Updates geliefert.

Microsoft hat zum September-Patchday 13 Sicherheitsupdates bereitgestellt. Mit ihnen schließt der Konzern insgesamt 47 Schwachstellen. Als kritisch eingestufte Anfälligkeiten befinden sich in SharePoint Server, Outlook, Internet Explorer und Windows XP sowie Windows Server 2003. Die restlichen neun Patches stuft das Unternehmen immerhin noch als “wichtig” ein. Das am vergangenen Donnerstag angekündigte Update für .Net Framework lieferte Microsoft allerdings noch nicht aus.

Microsoft Patchday

Besonders hohe Dringlichkeit hat laut Microsoft das Update MS13-068 für Outlook 2007 und 2010. Eine Anfälligkeit in S/MIME-Nachrichtenzertifikaten ermöglicht es Angreifern, darüber Schadcode einzuschleusen und auszuführen. Ein Nutzer muss dazu lediglich eine Vorschau einer speziell gestalteten E-Mail-Nachricht anzeigen oder öffnen. Die Erstellung von S/MIME-Zertifikaten an sich sei nicht schwer, ein Zertifikat aber so zu manipulieren, dass die Ausführung von Schadcode möglich ist, sei sehr aufwändig, schreibt Microsoft.

In Internet Explorer 6, 7, 8, 9 und 10 behebt Microsoft zehn Schwachstellen. Sie erlauben ebenfalls Remotecodeausführung, wenn ein Benutzer eine manipulierte Website besucht. Weitere zehn Fehler beseitigt das Unternehmen in Share Point Server 2007, 2010 und 2013. Hierüber lassen sich speziell gestaltete Inhalte an einen Server schicken, der die Eingaben nicht korrekt überprüft, was wiederum zur Ausführung von Schadcode auf dem Server führen kann.

Windows XP und Server 2003 sind über eine schwachstelle in der Komponente OLE angreifbar. Darüber hinaus korrigiert Microsoft Fehler in allen unterstützten Windows-Versionen, Word 2003, 2007 und 2010, Excel 2003, 2007, 2010 und 2013, Access 2007, 2010 und 2013, Frontpage 2003, und Office für Mac 2011.

Ein nicht sicherheitsrelevantes Update für Outlook 2013 hat das Unternehmen kurz nach der Veröffentlichung wieder zurückgezogen. Einem Eintrag im Office-Blog zufolge verschwand bei einigen Nutzern nach der Installation des Patches die Ordnerleiste.

Grund dafür sind offenbar Kompatibilitätsprobleme zwischen den Dateien “Outlook.exe” und “mso.dll”. Sie werden dadurch ausgelöst, dass einige Anwender entweder nur das September-Update oder einen im August bereitgestellten kumulativen Patch eingespielt haben. Betroffenen Nutzern rät Microsoft, den jeweiligen Patch (KB2817630 oder KB2817347) zu deinstallieren. Eine korrigierte Version des September-Updates will Microsoft in Kürze veröffentlichen. Das Problem stehe aber in keinem Zusammenhang mit dem Patch MS13-068.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen