Patch Day

Microsoft schließt 20 Sicherheitslücken

Bei seinem monatlichen Update-Dienstag hat Microsoft im Oktober sieben Security Bulletins veröffentlicht, die insgesamt 20 Schwachstellen in Windows, Office und Server-Software behandeln.

Microsoft schließt 20 Sicherheitslücken

© Frank Ziemann

Microsoft schließt 20 Sicherheitslücken

Vier der sieben Security Bulletins, die Microsoft am 9. Oktober veröffentlicht hat, betreffen die Office-Produkte des Herstellers. Zweite weitere befassen sich mit Windows-Lücken und eines mit dem SQL Server. Microsoft stuft nur eine der insgesamt 20 Schwachstellen als kritisch ein. Sie steckt in allen Word-Versionen für Windows und kann mit Hilfe speziell präparierter RTF-Dateien ausgenutzt werden, um beliebigen Code einzuschleusen. Mit betroffen sind auch der kostenlose Word Viewer, die Office Web Apps 2010 und Sharepoint 2010.Ein Security Bulletin widmet sich ganz einer Sicherheitslücke in Works 9, dessen Support in dieser Woche endet. Der ausnutzbare Fehler tritt bei der Konvertierung präparierter Word-Dokumente auf. Eine größere Anzahl Office-Produkte weist einen im Bulletin MS12-066 beschriebenen Fehler bei der HTML-Bereinigung auf, durch dessen Ausnutzung ein Angreifer höhere Rechte erlangen könnte. Im FAST Search Server 2010 für Sharepoint hat Microsoft die Oracle-Schwachstellen beseitigt, die es bereits im August in Exchange geschlossen hatte.

Eine DoS-Lücke (Denial-of-Service) steckt im Windows Kerberos-Dienst, betrifft jedoch nur Windows 7 und Server 2012. Alle Windows-Versionen (außer Windows 8 und Server 2012) enthalten hingegen einen Fehler im Kernel, durch den ein angemeldeter Benutzer höhere Rechte erlangen kann. Auch eine XSS-Lücke (Cross-site Scripting) im Report Manager verschiedener Versionen des Microsoft SQL Server lässt sich zur Erhöhung von Berechtigungen ausnutzen.Microsoft liefert nun auf via Windows Update eine Änderung aus, durch die Zertifikate mit zu schwachen RSA-Schlüsseln als ungültig behandelt werden. Dieses Update steht bereits seit August zum Download bereit. Eine weitere Sicherheitsmitteilung betrifft einen Fehler, der Microsoft beim Signieren zwischen Juni und August veröffentlichter Sicherheits-Updates unterlaufen ist. Dadurch könnte die Gültigkeit der Code-Signaturen vorzeitig ablaufen. Microsoft wird diese Updates erneut ausliefern, diesmal mit korrekten Zeitstempeln.Schließlich hat Microsoft auch noch seinen Schädlingsbekämpfer, das "Tool zum Entfernen bösartiger Software" aktualisiert. Die neue Version 4.13 erkennt und beseitigt nun auch die Schädlingsfamilien Win32/Nitol (Backdoor) und Win32/OneScan (Scareware, Fake-AV).

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…