Microsoft Patch Day

0-Day-Lücke im Internet Explorer gestopft

Beim monatlichen Update-Dienstag hat Microsoft 37 Sicherheitslücken geschlossen, allein 26 im Internet Explorer. Eine der IE-Lücken wird bereits für Angriffe im Web ausgenutzt.

0-Day-Lücke im Internet Explorer gestopft

© Microsoft

0-Day-Lücke im Internet Explorer gestopft

Microsofts Patch Day hat in diesem Monat neun Security Bulletins gebracht, die insgesamt 37 Schwachstellen behandeln. Zwei der Bulletins befassen sich mit als kritisch eingestuften Sicherheitslücken - eine im Windows Media Center und 26 im Internet Explorer (IE). Für die übrigen sieben Bulletins weist Microsoft die zweithöchste Risikostufe "hoch" aus. Darin geht es um Schwachstellen in Windows, OneNote, SQL Server, Sharepoint Server und im .NET Framework.

Mit diesem Update-Dienstag führt Microsoft eine neue Bewertungsstufe im Ausnutzbarkeitsindex ("Exploitability") ein. Die Stufe "0" rangiert höher als "1" (kritisch) und kennzeichnet eine Schwachstelle, die bereits für Angriffe ausgenutzt wird. Eine solche Lücke schließt das neueste kumulative Sicherheits-Update für den Internet Explorer 6 bis 11. Eine weitere der 26 im Bulletin MS14-051 behandelten Sicherheitslücken ist bereits vorab auf der Sicherheitskonferenz Black Hat in Las Vegas veröffentlicht worden. Die Mehrzahl der übrigen Lücken ist ebenfalls geeignet, um Code einzuschleusen und auszuführen.

Eine als kritisch eingestufte Schwachstelle beheben auch die Updates zum Security MS14-043 und betrifft das Windows Media Center. Anfällig sind Windows 8 und Windows 8.1 Professional, alle Ausgaben von Windows 7 außer Starter und Home Basic sowie das optionale Windows Media Center TV Pack für Windows Vista. Der Fehler steckt in der Programmbibliothek MCPlayer.dll, die nach dem Löschen eines CSyncBasePlayer-Objekts Ressourcen nicht richtig bereinigt. Dadurch kann beim Öffnen speziell präparierter Office-Dateien Code eingeschleust und ausgeführt werden.

Eine Sicherheitslücke in Notizprogramm OneNote 2007 kann mit Hilfe speziell präparierter OneNote-Dateien ausgenutzt werden, um Code einzuschleusen. Da hier die aktive Mitwirkung des Benutzers erforderlich ist, stuft Microsoft solche Schwachstellen nicht als kritisch, sondern nur als hohes Risiko ein. Weitere Bulletins behandeln Schwachstellen in Windows, SQL Server 2008 bis 2014, Sharepoint Server 2013 (via Dynamics AX) und im .NET Framework. Sie können es ermöglichen höhere Berechtigungen zu erlangen oder Sicherheitsmechanismen zu umgehen. 

Außerdem verteilt Microsoft seinen Schädlingsbekämpfer, das "Windows-Tool zum Entfernen bösartiger Software", in der neuen Version in der neuen Version 5.15. Diese nimmt nun auch die Malware-Familie "Win32/Lecpetex" aufs Korn. Deren Bot-Netz wurde im Juli durch Facebook dicht gemacht und das Microsoft-Tool bereinigt nun die verseuchten Rechner der betroffenen Benutzer.

image.jpg

© Archiv

Microsofts Patch Day hat in diesem Monat neun Security Bulletins gebracht, die insgesamt 37 Schwachstellen behandeln.

Mehr zum Thema

Elektronisch zahlen hat Lücken. Aktuell muss Paypal mit einem Fehler kämpfen. Eine im Netz veröffentlichte Anleitung sorgt für Aufsehen, sollte aber nicht befolgt werden.
Guthaben-Hack ist Betrug

Microsoft schließt 42 Sicherheitslücken
Microsoft Patch Day - September 2014

Microsoft auf der gamescom