Patch Day Juli

Microsoft stopft kritische Lücken in Windows und IE

Microsoft hat sechs Security Bulletins bei seinem monatlichen Update-Dienstag veröffentlicht, in denen es um insgesamt 29 Sicherheitslücken in Windows sowie im Internet Explorer geht.

microsoft, patch day, juli, 2014

© Screenshot: Frank Ziemann; Microsoft

microsoft, patch day, juli, 2014

Microsoft stuft eine Reihe dieser Lücken als kritisch ein, darunter die Mehrzahl der 24 Schwachstellen, die allein auf den Internet Explorer (IE), Versionen 6 bis 11, entfallen. Diese werden mit einem neuen kumulativen Sicherheits-Update für den IE beseitigt.

Bis auf eine waren alle Lücken vor dem Patch Day noch nicht öffentlich bekannt. Für die eine öffentlich gemeldete Schwachstelle sind bislang noch keine Exploits bekannt. Dabei handelt es sich um die einzige der IE-Lücken, die sich nicht eignet, um Codes einzuschleusen und auszuführen. Vielmehr könnte ein Angreifer damit die Richtlinien für EV SSL-Zertifikate (EV: Extended Validation) mittels eines Platzhalterzertifikats umgehen.

Ebenfalls als kritisch gilt eine Schwachstelle im Windows Journal, einem wenig bekannten Programm für handschriftliche Notizen. Journal ist ab Windows Vista in allen Windows-Versionen serienmäßig enthalten. Öffnet ein Benutzer eine speziell präparierte Journal-Datei (.JNT), kann eingeschleuster Code mit den Rechten des angemeldeten Benutzers ausgeführt werden. Ein Angreifer könnte eine solche JNT-Datei etwa als Mail-Anhang versenden.

Drei Bulletins mit der Risikoeinstufung "hoch" befassen sich mit Schwachstellen in Windows, durch deren Ausnutzung sich ein Angreifer höhere Berechtigungen verschaffen kann. Eine betrifft die Bildschirmtastatur (OSK: On-Screen Keyboard) in allen noch unterstützten Windows-Versionen außer Server 2003. Eine zweite Lücke dieser Art steckt im Treiber für zusätzliche Funktionen (Ancillary Function Driver, AFD), aller Windows-Versionen, die dritte DirectShow.

Schließlich beseitigt Microsoft noch eine DoS-Lücke (Denial of Service) in Microsoft Service Bus 1.1 für Windows Server. Diese Software wird für Cloud-Dienste wie Azure benötigt und ist standardmäßig nicht installiert. Betroffen können Windows Server 2008 R2 (x64), 2012 und 2012 R2 sein, sofern Microsoft Service Bus 1.1 installiert ist. Die Schwachstelle könnte durch Senden einer Sequenz speziell gestalteter AMQP-Nachrichten (Advanced Message Queuing Protocol) ausgenutzt werden.

Außerdem verteilt Microsoft laut der "Security Bulletin Summary für Juli 2014" das "Windows-Tool zum Entfernen bösartiger Software" in der neuen Version 5.14. Diese findet und beseitigt nun auch die Schädlingsfamilien "Win32/Caphaw" und "Win32/Bepush".

Vorhergehende Patch Days und Reparaturen

Mehr zum Thema

Patch Day Juni 2013: Microsoft hat die aktuellen Updates veröffentlicht.
Microsoft Patch Day

Microsoft hat am Patch Day im Juni fünf Security Bulletins veröffentlicht, die 23 Sicherheitslücken in Windows, Internet Explorer und Office…
Microsoft teilt die Updates für den Patch Day September mit.
Microsoft Patch Day voraus

Mit den Patch Day September Updates will Microsoft etliche Lücken in Windows, Office und Internet Explorer schließen.
Zum Patch Day hat Microsoft einige Sicherheitslücken geschlossen.
Microsoft Patch Day

Beim monatlichen Patch Day hat Microsoft im September 13 Security Bulletins veröffentlicht, die insgesamt 47 Sicherheitslücken behandeln.
Zum Patch Day im Oktober gibt es acht Security Bulletins.
Microsoft Patch Day

Microsoft hat am Patch Day Oktober 2013 acht Security Bulletins veröffentlicht. Es gibt Updates für Lücken in Windows, Internet Explorer, Office…
Symbolbild für Internet-Sicherheit und Spionage
Schwere IE-Lücke

Microsofts Internet Explorer ist von einer schweren Sicherheitslücke betroffen, für die es bislang noch keinen Patch gibt. Hacker können so Code…