Allgemein

Microsoft schließt kritische Lecks in Windows und Office

Microsoft-Patchday (Bild: silicon)
0 0 Keine Kommentare

Im Zuge des Mai-Patchdays sind 13 Updates erhältlich, die insgesamt 48 Anfälligkeiten beseitigen. Drei Patches betreffen als kritisch eingestufte Schwachstellen, da sie Remotecodeausführung ermöglichen. Die restlichen Updates gelten als wichtig und verhindern unter anderem Rechteerweiterung und Denial of Service.

An seinem Patch-Dienstag im Mai hat Microsoft 13 Sicherheitsaktualisierungen freigegeben, die insgesamt 48 Lücken in Windows, Office, Internet Explorer, SharePoint Server, .NET Framework, Silverlight und Lync schließen. Drei Updates beheben als kritisch eingestufte Schwachstellen, da diese Remotecodeausführung ermöglichen. Die restlichen zehn Bulletins betreffen mit dem Schweregrad “hoch” versehene Anfälligkeiten. Laut Microsoft ermöglichen sie Rechteerweiterung, das Offenlegen von Informationen, das Umgehen von Sicherheitsfunktionen sowie Denial-of-Service-Attacken (DoS).

Microsoft Logo (Bild: Microsoft)

Der erste wichtige Update MS15-043 stopft in Form eines kumulativen Patches für den Internet Explorer gleich 22 Sicherheitslecks, darunter 14 kritische Speicherfehler-Lücken. Betroffen sind sämtliche Versionen des Microsoft-Browsers – von IE6 unter Windows Server 2003 bis hin zu IE11 in der bislang jüngsten Windows-Version 8.1. Öffnet der Anwender eine manipulierte Website, kann ein Angreifer dessen Benutzerrechte erlangen und Schadcode aus der Ferne ausführen.

Das zweite bedeutende Update MS15-044 korrigiert Anfälligkeiten im Microsoft-Schriftartentreiber, die unter Windows, .NET Framework, Office, Lync und Silverlight ausgenutzt werden können. Hierbei ist Remotecodeausführung auch dann möglich, wenn der Nutzer eine präparierte Datei oder Website öffnet, in die TrueType-Schriftartdateien eingebettet sind.

Das dritte entscheidende Bulletin MS15-045 behebt einen Fehler im Programm Windows Journal, das bei allen Windows-Client-Versionen standardmäßig ab Werk installiert ist. Windows-Server-Umgebungen sind nur betroffen, wenn Windows Journal durch Einschalten der Desktop-Experience-Funktionen installiert wurde. Um die Schwachstelle zwecks Remotecodeausführung ausnutzen zu können, müssen Angreifer den Anwender dazu verleiten, eine manipulierte Journaldatei zu öffnen. Microsoft zufolge sind Benutzer mit Konten, die weniger Systemrechte besitzen, davon womöglich weniger betroffen als Benutzer mit Administratorrechten.

Die übrigen Updates korrigieren indes weniger schwerwiegende Security-Mängel. Abgesehen von den 13 Patches stellt Microsoft wie üblich auch eine aktualisierte Version seines “Windows-Tool zum Entfernen bösartiger Software” zur Verfügung. Das Programm identifiziert und eliminiert eine Auswahl gängiger, im System eingenisteter Schadsoftware.

Microsoft empfiehlt Anwendern, vor allem die für kritische Lücken gedachten Patches schnellstmöglich zu installieren – falls sie nicht ohnehin die automatische Aktualisierung unter Windows verwenden. Die Updates können direkt über die jeweiligen Bulletins oder Microsoft Update beziehungsweise Windows Update bezogen werden.

Mit der Einführung von Windows 10 könnte Microsoft künftig auf die üblichen Patchdays verzichten. Denn mit dem kommenden, plattformübergreifenden Betriebssystem verfolgt es auch eine neue Update-Strategie, die es letzte Woche auf der Konferenz Ignite in Chicago präsentiert hat.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Seit September 2013 ist Rainer hauptsächlich für ITespresso im Einsatz, schreibt aber gerne auch mal hintergründige Artikel für ZDNet und springt ebenso gerne für silicon ein. Er interessiert sich insbesondere für die Themen IT-Security und Mobile. Sein beständiges Ziel ist es, die komplexe IT-Welt so durchsichtig und verständlich wie möglich abzubilden.

Folgen