Microsoft Patch Day

0-Day-Lücke im Internet Explorer gestopft

Beim monatlichen Update-Dienstag hat Microsoft 37 Sicherheitslücken geschlossen, allein 26 im Internet Explorer. Eine der IE-Lücken wird bereits für Angriffe im Web ausgenutzt.

0-Day-Lücke im Internet Explorer gestopft

© Microsoft

0-Day-Lücke im Internet Explorer gestopft

Microsofts Patch Day hat in diesem Monat neun Security Bulletins gebracht, die insgesamt 37 Schwachstellen behandeln. Zwei der Bulletins befassen sich mit als kritisch eingestuften Sicherheitslücken - eine im Windows Media Center und 26 im Internet Explorer (IE). Für die übrigen sieben Bulletins weist Microsoft die zweithöchste Risikostufe "hoch" aus. Darin geht es um Schwachstellen in Windows, OneNote, SQL Server, Sharepoint Server und im .NET Framework.

Mit diesem Update-Dienstag führt Microsoft eine neue Bewertungsstufe im Ausnutzbarkeitsindex ("Exploitability") ein. Die Stufe "0" rangiert höher als "1" (kritisch) und kennzeichnet eine Schwachstelle, die bereits für Angriffe ausgenutzt wird. Eine solche Lücke schließt das neueste kumulative Sicherheits-Update für den Internet Explorer 6 bis 11. Eine weitere der 26 im Bulletin MS14-051 behandelten Sicherheitslücken ist bereits vorab auf der Sicherheitskonferenz Black Hat in Las Vegas veröffentlicht worden. Die Mehrzahl der übrigen Lücken ist ebenfalls geeignet, um Code einzuschleusen und auszuführen.

Eine als kritisch eingestufte Schwachstelle beheben auch die Updates zum Security MS14-043 und betrifft das Windows Media Center. Anfällig sind Windows 8 und Windows 8.1 Professional, alle Ausgaben von Windows 7 außer Starter und Home Basic sowie das optionale Windows Media Center TV Pack für Windows Vista. Der Fehler steckt in der Programmbibliothek MCPlayer.dll, die nach dem Löschen eines CSyncBasePlayer-Objekts Ressourcen nicht richtig bereinigt. Dadurch kann beim Öffnen speziell präparierter Office-Dateien Code eingeschleust und ausgeführt werden.

Eine Sicherheitslücke in Notizprogramm OneNote 2007 kann mit Hilfe speziell präparierter OneNote-Dateien ausgenutzt werden, um Code einzuschleusen. Da hier die aktive Mitwirkung des Benutzers erforderlich ist, stuft Microsoft solche Schwachstellen nicht als kritisch, sondern nur als hohes Risiko ein. Weitere Bulletins behandeln Schwachstellen in Windows, SQL Server 2008 bis 2014, Sharepoint Server 2013 (via Dynamics AX) und im .NET Framework. Sie können es ermöglichen höhere Berechtigungen zu erlangen oder Sicherheitsmechanismen zu umgehen. 

Außerdem verteilt Microsoft seinen Schädlingsbekämpfer, das "Windows-Tool zum Entfernen bösartiger Software", in der neuen Version in der neuen Version 5.15. Diese nimmt nun auch die Malware-Familie "Win32/Lecpetex" aufs Korn. Deren Bot-Netz wurde im Juli durch Facebook dicht gemacht und das Microsoft-Tool bereinigt nun die verseuchten Rechner der betroffenen Benutzer.

image.jpg

© Archiv

Microsofts Patch Day hat in diesem Monat neun Security Bulletins gebracht, die insgesamt 37 Schwachstellen behandeln.

Mehr zum Thema

Elektronisch zahlen hat Lücken. Aktuell muss Paypal mit einem Fehler kämpfen. Eine im Netz veröffentlichte Anleitung sorgt für Aufsehen, sollte aber nicht befolgt werden.
Guthaben-Hack ist Betrug

Der Ex-Hacker Razvan Cernaianu berichtet von einer Paypal-Sicherheitslücke im Buchungssystem. Diese verdoppelt mal eben das Guthaben.
Microsoft schließt 42 Sicherheitslücken
Microsoft Patch Day - September 2014

Mit vier Security Bulletins und den zugehörigen Sicherheits-Updates beseitigt Microsoft 42 Schwachstellen. Die meisten Lücken stecken im Internet…
Microsoft auf der gamescom
Patch Day Oktober 2014

Microsoft hat acht Security Bulletins veröffentlicht: Die Sicherheits-Updates beseitigen 14 Schwachstellen vor allem in Internet Explorer und…
windows update, KB 2949927, Probleme, Fehler 80004005
KB 2949927 Probleme

Microsoft hat das Windows-Update KB 2949927 zurückgezogen. Nutzer sollten das Windows Update dringend deinstallieren.
Firefox
Mozilla-Browser

Mozilla hat Firefox 38 zum Download freigegeben. Die neue Version des Browsers bringt unter anderem ein DRM-Modul von Adobe mit. Wir erklären, was…