Menü

Patch Day Dezember Microsoft schließt kritische Lücken in Word und Internet Explorer

Beim letzten regulären Update-Dienstag des Jahres hat Microsoft sieben Security Bulletins veröffentlicht, die insgesamt zwölf Sicherheitslücken behandeln. Die wichtigsten Updates des Microsoft Patch Day betreffen den Internet Explorer und Word.

Der Microsoft Patch Day Dezember bringt sieben Security Bulletins. © Frank Ziemann
Der Microsoft Patch Day Dezember bringt sieben Security Bulletins.

Von den sieben aktuellen Security Bulletins, die der Microsoft Patch Day Dezember gebracht hat, befassen sich fünf mit kritisch eingestuften Schwachstellen. Neben Internet Explorer (IE) und Word sind alle Windows-Versionen und der Exchange Server betroffen. Ein Neustart des Rechners lässt sich kaum vermeiden. Alle Versionen des Internet Explorer 6 bis 10 erhalten ein neues, kumulatives Sicherheits-Update. Die drei neuen Lücken, die damit geschlossen werden, sind jedoch nur in den neueren IE-Versionen 9 und 10 ausnutzbar. Für die älteren Ausgaben soll es laut Microsoft keinen praktikablen Angriffsvektor geben, die Updates sind mehr eine Vorsichtsmaßnahme.

Die Word-Lücke betrifft die Versionen 2003, 2007 und 2010 sowie den kostenlosen Word Viewer, Sharepoint Server 2010 und Office Web Apps 2010. Das Sicherheitsleck kann mit speziell präparierten RTF-Dateien ausgenutzt werden, um Code einzuschleusen und auszuführen. Dazu kann es ausreichen, wenn ein Anwender in Outlook eine präparierte, RTF-formatierte Mail öffnet oder deren Vorschau anzeigt, sofern Word als Mail Viewer eingestellt ist. Das ist bei Outlook 2007 standardmäßig der Fall. Zwei Schwachstellen im Kernel aller Windows-Version außer RT können mit Hilfe präparierter OpenType- oder TrueType-Fonts ausgenutzt werden. Ein Angreifer müsste einen Anwender dazu verleiten ein Dokument oder eine Webseite mit eingebetteten Fonts zu öffnen. Die OpenType-Anfälligkeit haben finnische Forscher an Googles Chrome-Team gemeldet und dafür 5000 US-Dollar Prämie erhalten.

Mehr lesen

Microsoft schließt weitere Lücken im Exchange Server, die durch die verwendeten "Oracle Outside In"-Bibliotheken entstanden sind. Vor allem die Funktion WebReady Document Viewing ist anfällig, wenn eine Vorschau einer speziell gestalteten Datei über Outlook Web App angezeigt wird. Zwei weitere Windows-Lücken sind ebenfalls geeignet, um Code einzuschleusen. Eine betrifft alle Windows-Versionen von XP bis 7, einschließlich Server 2008 R2. Sie basiert auf der fehlerhaften Behandlung bestimmter Dateinamen in UNC-Pfaden. Die andere Schwachstelle steckt in allen Windows-Versionen außer RT und betrifft DirectPlay. Sie mit einem speziell präparierten Office-Dokument ausgenutzt werden, das ein eingebettetes ActiveX-Steuerelement enthält.

Außerdem hat Microsoft das "Tool zum Entfernen bösartiger Software" aktualisiert. Dessen neue Version 4.15 nimmt nun auch die Schädlingsfamilie Win32/Phdet aufs Korn. Damit kann ein Angreifer infizierte Rechner für DDoS-Angriffe missbrauchen.

 
Anzeige
Anzeige
x