Microsoft Patch Day

Microsoft schließt kritische IE-Lücken

Bei seinem monatlichen Patch Day hat Microsoft zehn Security Bulletins veröffentlicht, die 33 Sicherheitslücken behandeln. Allein zwei Updates gelten dem Internet Explorer.

Microsofts neues Logo

© microsoft

Microsofts neues Logo

Zwei der zehn Security Bulletins, die Microsoft im Rahmen seines Update-Dienstags für Mai veröffentlicht hat, befassen sich mit als kritisch eingestuften Schwachstellen im Internet Explorer (IE). Das Bulletin MS13-037 behandelt elf Lücken in allen unterstützten IE-Versionen (6 bis 10). Dazu stellt Microsoft ein neues kumulatives Sicherheits-Update bereit, das diese und auch alle bislang schon behandelten Schwachstellen beseitigt.

Das Security Bulletin MS13-038 hingegen widmet sich einer Sicherheitslücke im IE 8, die bereits für Web-Angriffe ausgenutzt wird. Zwar gibt Microsoft an, auch der IE 9 sei betroffen, doch es heißt dazu weiter, in der Standardkonfiguration des IE 9 sei diese Lücke nicht ausnutzbar. Die Ende letzter Woche bereit gestellte Interimslösung (Fix-it Tool) muss nicht wieder deinstalliert werden, bevor das nun zur Verfügung stehende Sicherheits-Update ausgeführt wird.

Die acht weiteren Security Bulletins tragen die zweithöchste Risikostufe "hoch". Sie behandeln etwa eine DoS-Lücke in Windows 8, RT und Server 2012, die per HTTP ausgenutzt werden könnte. Das Konferenzprogramm Lync weist eine Schwachstelle auf, über die ein Angreifer eingeschleusten Code ausführen könnte.

Drei Bulletins befassen sich mit Lücken in Office-Produkten. Dies sind Publisher 2003, 2007 und 2010, Word 2003 und der kostenlose Word-Viewer sowie Visio 2003, 2007 und 2010. Die Schwachstellen in Publisher und Word eignen sich, um Code einzuschleusen, die Visio-Lücke ist lediglich ein Datenleck.

Ein weiteres Datenleck steckt in der Programmsammlung Windows Essentials, Versionen 2011 und 2012. Es betrifft das Textmodul Writer. Allerdings stellt Microsoft nur für Windows Essentials 2012 ein Update bereit, Nutzer der älteren Ausgabe sollen zu dieser Version wechseln. Außerdem können Schwachstellen in Kernelmodustreibern aller Windows-Versionen ausgenutzt werden, um sich höhere Berechtigungen zu verschaffen.

Die ebenfalls am 14. Mai veröffentlichte Sicherheitsempfehlung 2846338 gilt einer zunächst nur als DoS-Lücke bekannt gewordenen Schwachstelle in Microsofts Antivirus-Produkten. Wie Microsoft mitteilt, kann darüber jedoch Code eingeschleust und ausgeführt werden. Betroffen sind nur die 64-Bit-Fassungen der Produkte Forefront, System Center 2012 Endpoint Protection, Security Essentials, Windows Defender, Intune Endpoint Protection sowie des MSRT.

Das MSRT, besser bekannt als "Tool zum Entfernen bösartiger Software", verteilt Microsoft Update ohnehin in der neuen Version 4.20. Diese nimmt nun auch die Schädlingsfamilien Win32/FakeDef, Win32/Vicenor und Win32/Kexqoud aufs Korn.

image.jpg

© Frank Ziemann

Microsoft schließt verschiedene kritische Lücken.

Mehr zum Thema

Windows Update: Screenshot