Microsoft Patch Day

Sieben Bulletins gegen 31 Lücken

Microsoft hat bei seinem monatlichen Patch Day am 11. Februar sieben Security Bulletins veröffentlicht, die insgesamt 31 Schwachstellen behandeln. Die meisten Lücken betreffen den Internet Explorer.

Micrososfts altes Logo

© Microsoft

Micrososfts altes Logo

Microsoft hatte für seinen Update-Dienstag im Februar ursprünglich fünf Security Bulletins angekündigt, am Montagabend jedoch noch zwei weitere nachnominiert. Unter den Nachzüglern ist auch ein neues kumulatives Sicherheits-Update für den Internet Explorer. Vier der sieben Bulletins behandeln als kritisch eingestufte Sicherheitslücken, die drei übrigen tragen die zweithöchste Risikobewertung "hoch" (important).

Allein im Internet Explorer 6 bis 11 hat Microsoft 24 Schwachstellen beseitigt, von denen 22 ausgenutzt werden könnten, um Code einzuschleusen und auszuführen. Eine der Lücken war bereits im Vorfeld öffentlich bekannt gemacht worden, was die Update-Installation umso dringlicher macht. Unter den geschlossenen Sicherheitslücken ist eine, die die VBScript-Unterstützung im IE betrifft.

Hier liegt die Verbindung zum zweiten nachnominierten Bulletin. Darin geht es um eine als kritisch eingestufte Sicherheitslücke in allen Windows-Versionen. Der Fehler steckt in der Verarbeitung von Objekten durch das VBScript-Modul im Internet Explorer im Speicher. Beim Aufruf einer entsprechend präparierten Web-Seite kann Code eingeschleust und ausgeführt werden.

Die besten Tipps für ein sicheres Passwort

Ebenfalls als kritisch stuft Microsoft eine Sicherheitslücke im Grafikmodul Direct2D ein. Sie betrifft Windows 7, 8 und 8.1, Server 2008 R2, Server 2012 und Server 2012 R2 sowie Windows RT und RT 8.1. Auch hier kann ein Angreifer eine speziell präparierte Web-Seite benutzen, um Code einzuschleusen und auszuführen. Eine weitere kritische Lücke steckt in der Antivirus-Software Forefront Protection 2010 für Exchange Server.

Bereits für Angriffe im Web ausgenutzt werden Lücken im .NET-Framework sowie in der XML-Diensten. Betroffen sind alle unterstützten Windows-Versionen, Code kann darüber jedoch nicht eingeschleust werden. Windows 8, Server 2012 und RT sind zudem anfällig für DoS-Angriffe (Denial of Service) mit IPv6-Paketen.

Außerdem verteilt Microsoft die neue Version 5.9 seines Schädlingsbekämpfers "Windows-Tool zum Entfernen bösartiger Software". Damit wird der VBScript-Wurm Jenxcus (VBS/Jenxcus) aufs Korn genommen, der dem Angreifer eine Hintertür ins verseuchte System öffnet.

image.jpg

© Frank Ziemann

Allein im Internet Explorer 6 bis 11 hat Microsoft 24 Schwachstellen beseitigt.

Mehr zum Thema

Windows Update: Screenshot