Patch Day Dezember 2013

Microsoft veröffentlicht elf Security Bulletins

Beim letzten turnusmäßigen Patch Day in diesem Jahr hat Microsoft elf Security Bulletins veröffentlicht, die 24 zum Teil als kritisch eingestufte Sicherheitslücken in Windows, Internet Explorer, Office und Exchange behandeln.

Patch Day Dezember 2013: Microsoft gibt die Sicherheits-Updates für den Dezember bekannt.

© Frank Ziemann

Patch Day Dezember 2013: Microsoft gibt die Sicherheits-Updates für den Dezember bekannt.

In fünf der elf Security Bulletins für den Patch Day Dezember 2013 geht es um Schwachstellen, die Microsoft als kritisch einstuft. Für alle Windows-Versionen gibt es ein neues kumulatives Sicherheits-Update für den Internet Explorer 6 bis 11, das allein sieben Sicherheitslücken schließt. Zu den wichtigsten Updates zählen auch die zum Security Bulletin MS13-096. Sie schließen eine Lücke in der Grafikschnittstelle GDI+, die bereits seit längerer Zeit für Angriffe im Web ausgenutzt wird. Sie betrifft Windows Vista und Server 2008, Office 2003 bis 2010 sowie Lync.

Zwei weitere Bulletins behandeln kritische Lücken in allen unterstützten Windows-Versionen. Eine Schwachstelle betrifft Windows Script 5.6, 5.7 und 5.8 (Microsoft Scripting Runtime Object Library). Die andere Sicherheitsanfälligkeit steckt in der Art und Weise, wie die Windows-Funktion WinVerifyTrust ausführbare Dateien (EXE) überprüft, die mittels Authenticode signiert sind. In beiden Fällen könnte eingeschleuster Code ausgeführt werden.

Im Exchange Server 2007, 2010 und 2013 behebt Microsoft insgesamt vier Sicherheitslücken. Zwei dieser Schwachstellen stecken in der Funktion "WebReady Document Viewing" und gehen auf "Oracle Outside In" zurück. Diese Oracle-Lücken in Exchange flickt Microsoft nun bereits seit mehr als einem Jahr. Eine weitere Lücke betrifft ebenfalls Exchange Server, auf denen Outlook Web Access ausgeführt wird, und ermöglicht es einem Angreifer eingeschleusten Code auszuführen.

Im Sharepoint Server 2010 und 2010 beseitigt Microsoft mehrere Schwachstellen, die ein Angreifer nutzen könnte, um Code einzuschleusen und im Sicherheitskontext des W3WP-Dienstkontos auszuführen. Dazu müsste er speziell präparierte Seiteninhalte an einen anfälligen Sharepoint Server senden. Microsoft stuft dieses Update jedoch nicht als kritisch ein, da der Angreifer über gültige Anmeldeinformationen verfügen muss.

Weitere fünf Bulletins behandeln Schwachstellen in Windows, Office und Entwickler-Tools, die Microsoft als hohes Risiko einstuft. Die bereits für Angriffe ausgenutzte Lücke in XP und Server 2003 bleibt weiterhin offen. Zusätzlich zu den Security Bulletins hat Microsoft auch noch mehrere Sicherheitsempfehlungen veröffentlicht. Im Security Advisory 2871690 verlautbart Microsoft die Bereitstellung eines Updates für Windows 8 und Server 2012, mit dem UEFI-Module (Secure Boot) anderer Hersteller gesperrt werden. Diese sollten allerdings laut Microsoft nie auf Endanwenderrechnern vorkommen, da sie nur Testzwecken gedient hätten.

Schließlich hat Microsoft auch noch das Windows-Tool zum Entfernen bösartiger Software aktualisiert. In der neuen Version 5.7 erkennt und beseitigt der Schädlingsbekämpfer auch eine Malware namens "W32/Rotbrow". Diese schleust den Bot "Win32/Sefnit" (auch als Mevade bekannt) ein, der für den sprunghaften Anstieg der TOR-Nutzerzahlen im August verantwortlich sein soll.

Mehr zum Thema

Zum Patch Day im Februar 2013 hat Microsoft wieder Sicherheitslücken geschlossen.
Microsoft Patch Day

Microsoft hat beim gestrigen Update-Dienstag 12 Security Bulletins veröffentlicht. Fünf Bulletins behandeln als kritisch eingestufte Lücken,…
Patch Day im Juni 2013: Microsoft wird fünf Schwachstellen in Windows & Co. beheben.
Microsoft Patch Day

Am Dienstag, den 11. Juni ist Patch Day. Microsoft wird fünf Security Bulletins veröffentlichen, die sich Schwachstellen in Windows und Office…
Patch Day Juni 2013: Microsoft hat die aktuellen Updates veröffentlicht.
Microsoft Patch Day

Microsoft hat am Patch Day im Juni fünf Security Bulletins veröffentlicht, die 23 Sicherheitslücken in Windows, Internet Explorer und Office…
Zum Patch Day hat Microsoft einige Sicherheitslücken geschlossen.
Microsoft Patch Day

Beim monatlichen Patch Day hat Microsoft im September 13 Security Bulletins veröffentlicht, die insgesamt 47 Sicherheitslücken behandeln.
Zum Patch Day im Oktober gibt es acht Security Bulletins.
Microsoft Patch Day

Microsoft hat am Patch Day Oktober 2013 acht Security Bulletins veröffentlicht. Es gibt Updates für Lücken in Windows, Internet Explorer, Office…