April-Patchday: Microsoft bringt elf Patches für 26 Lücken in Windows und Office

SicherheitSicherheitsmanagement
Microsoft (Bild: Microsoft)

Vier der Updates sind als kritisch eingestuft, da die dadurch geschlossenen Lecks Remotecodeausführung erlauben. Zu den beseitigten Anfälligkeiten gehört unter anderem eine Zero-Day-Lücke in Office. Die übrigen Patches gelten als wichtig, da die damit behobenen Schwachstellen etwa Rechteerweiterung und Denial of Service ermöglichen.

An seinem Patch-Dienstag im April hat Microsoft elf Sicherheitsaktualisierungen freigegeben, die insgesamt 26 Anfälligkeiten in Windows und Office beseitigen. Vier Schwachstellen werden als kritisch bewertet, da sie Remotecodeausführung ermöglichen. Die restlichen sieben Bulletins sind mit dem Schweregrad “hoch” versehen. Sie erlauben laut Microsoft Rechteerweiterung, Offenlegung von Informationen, das Umgehen von Sicherheitsfunktionen und Denial-of-Service-Attacken (DoS).

shutterstock-updates-tastatur (Bild: Shutterstock)

Das Update MS15-033 korrigiert allein fünf Anfälligkeiten, darunter ein Zero-Day-Leck (CVE-2015-1641). Letzteres wird in Word 2010 in begrenztem Ausmaß bereits aktiv ausgenutzt. Gleichermaßen betrifft sie Word 2007 und 2012 sowie Word 2011 für Mac. Um die Lücke auszunutzen, müssen Angreifer einen Anwender allerdings dazu bringen, eine manipulierte Datei zu öffnen, weshalb Microsoft den Patch lediglich als “wichtig” und nicht als “kritisch” bewertet.

Neben der Zero-Day-Lücke beseitigt das Update auch die beiden kritischen Sicherheitslecks CVE-2015-1649 und CVE-2015-1651. Bei diesen handelt es sich um Anfälligkeiten, die Remotecodeausführung ermöglichen. Sie lassen sich bereits dadurch ausnutzen, dass der Nutzer eine E-Mail nur im Outlook-Vorschaufenster betrachtet.

Das Bulletin MS15-034 behebt die kritische Schwachstelle CVE-2015-1635 im HTTP-Stack von Windows 7 und 8 sowie Windows Server 2008 und 2012. Angreifer können sie ebenfalls zur Remodecodeausführung ausnutzen, indem sie eine speziell präparierte HTTP-Anforderung an ein betroffenes System schicken.

Bei der ebenso als kritisch bewerteteten Aktualisierung MS15-032 handelt es sich um ein kumulatives Update für Internet Explorer. Es schließt insgesamt zehn Lecks, von denen neun als kritisch klassifiziert sind. Davon betroffen sind alle Versionen des Microsoft-Browsers – von IE6 unter Windows 2003 bis hin zu IE11 in der neuesten Windows-Version 8.1. Öffnet ein Anwender eine manipulierte Website, kann ein Angreifer dessen Benutzerrechte erhalten und ebenfalls Schadcode aus der Ferne ausführen.

Das vierte und letzte kritische Update für den April ist MS15-035, das ein Sicherheitsleck in der Graphics-Komponente von Windows stopft. Hier muss ein Angreifer den Nutzer dazu bringen, eine Enhanced-Metafile-Bilddatei (EMF) aufzurufen. Möglich wird das durch den Besuch einer Website sowie das Öffnen einer manipulierten Datei oder eines Arbeitsverzeichnisses mit einem speziell gestalteten EMF-File. Die Schwachstelle beschränkt sich allerdings auf ältere Windows-Fassungen wie Windows 7, Vista, Server 2003 und 2008. Die neuesten Desktop-Varianten 8 und 8.1 sind nicht betroffen. Gleiches gilt für Windows Server 2008 R2 und 2012.

Die übrigen Microsoft-Updates korrigieren weniger schwerwiegende Sicherheitsprobleme in Windows, Sharepoint, .NET und Hyper-V. Abgesehen von den elf Patches stellt Microsoft wie gewohnt auch eine aktualisierte Version seines “Windows-Tool zum Entfernen bösartiger Software” zum Download bereit. Das Werkzeug erkennt und löscht eine Auswahl gängiger Malware, die sich im System eingenistet hat.

Nutzer sollten vor allem das Office-Update schnellstmöglich einspielen, falls sie nicht schon die automatische Aktualisierung unter Windows verwenden. Die Patches lassen sich direkt über die jeweiligen Bulletins oder Microsoft Update respektive Windows Update beziehen.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen