Microsoft Patch Day

Microsoft beseitigt 23 Schwachstellen

Beim Patch Day in diesem Monat hat Microsoft acht Security Bulletins veröffentlicht, die 23 Sicherheitslücken behandeln. Drei der Bulletins sind als kritisch ausgewiesen.

Der Patch Day August 2013 brachte Updates für 23 Sicherheitslücken.

© Frank Ziemann / Microsoft

Der Patch Day August 2013 brachte Updates für 23 Sicherheitslücken.

Im Rahmen des monatlichen Patch Day am 13. August 2013 hat Microsoft etliche Sicherheits-Updates bereit gestellt, um 23 Sicherheitslücken zu schließen, überwiegend in Windows. Drei der acht veröffentlichten Security Bulletins behandeln als kritisch eingestufte Schwachstellen in Windows, im Internet Explorer und in Exchange.

Für den Internet Explorer 6 bis 10 auf allen Windows-Versionen gibt es ein neues kumulatives Sicherheits-Update, das alle bisherigen Updates einschließt und elf neue Lücken beseitigt. Microsoft stuft mehrere dieser Schwachstellen als kritisch ein, denn sie können es einem Angreifer ermöglichen, beliebigen Code einzuschleusen und auszuführen. Konkrete Angriffe auf diese Lücken sind laut Microsoft bislang noch nicht bekannt.

Im Exchange Server 2007, 2010 und 2013 hat Microsoft drei weitere kritische Schwachstellen behoben, die aus dem Datenkonverter Oracle Outside In stammen. Entsprechende Sicherheitsmeldungen hat Oracle bereits im vergangenen Jahr veröffentlicht. Microsoft hat für Exchange eine speziell angepasste Fassung der Oracle-Software lizenziert und stopft seit August 2012 nach und nach die Lücken.

Ebenfalls als kritisch gilt eine Schwachstelle im Unicode-Schriftprozessor (usp10.dll), auch bekannt als Uniscribe, der Windows-Versionen XP und Server 2003. Dabei handelt es sich um eine Schnittstellensammlung zur Unterstützung für Schrift mit komplexen Regeln oder Rechts-nach-links-Schreibung, etwa Arabisch oder Hebräisch. Mit speziell präparierten Font-Dateien, die in Web-Seiten oder Dokumente eingebunden sind, könnte ein Angreifer Code einschleusen.

Für die übrigen Sicherheitslücken weist Microsoft die zweithöchste Risikostufe hoch aus. Sie sind auf fünf Security Bulletins verteilt und betreffen nicht alle Windows-Versionen gleichmäßig. So beseitigt Microsoft eine DoS-Lücke im TCP/IP-Stack in Server 2012 (IPv4) und eine weitere in allen Windows-Versionen außer XP und Server 2003 (IPv6). Sie kann mit ICMP-Paketen ausgenutzt werden, um Rechner aus dem Tritt zu bringen.

Mit dem Security Bulletin MS13-063 stellt Microsoft ein Update bereit, das unter anderem eine beim Hacker-Wettbewerb "Pwn2own" demonstrierte Schwachstelle im Kernel mehrerer Windows-Versionen behebt. Das VUPEN-Team hatte im März gezeigt, wie man den Schutzmechanismus ASLR (Address Space Layout Randomization) austricksen kann. Dies betrifft die 64-Bit-Ausgaben der Windows-Versionen Vista und 7 sowie Server 2008 und 2008 R2. Außerdem beseitigt dieses Update drei Lücken in 32-Bit-Fassungen mehrerer Windows-Versionen, die ausgenutzt werden könnten, um sich höhere Rechte zu verschaffen.

Mehr zum Thema

Patch Day Juni 2013: Microsoft hat die aktuellen Updates veröffentlicht.