Microsoft Patch Day

Kritische Lücken im IE und in Office

Microsoft hat beim Patch Day im März sieben Security Bulletins veröffentlicht, die insgesamt 20 Sicherheitslücken behandeln. Als kritisch eingestuft sind Lücken im IE, in Silverlight, Visio und Sharepoint.

Kritische Lücken im IE und in Office

© Microsoft

Kritische Lücken im IE und in Office

Vier der sieben Security Bulletins behandeln Schwachstellen, die Microsoft als kritisch einstuft. Allein neun Lücken werden mit einem neuen kumulativen Sicherheits-Update für den Internet Explorer 6 bis 10 geschlossen. Eine der Lücken ist laut Microsoft bereits zuvor öffentlich bekannt gewesen, Angriffe darauf gebe es jedoch noch nicht. Die beim Hacker-Wettbewerb Pwn2own in der letzten Woche ausgenutzte IE-Lücke bleibt vorerst bestehen.

In Silverlight 5, Microsofts Flash-Alternative, steckt eine Sicherheitslücke, die es einem Angreifer ermöglichen kann, Code einzuschleusen und auszuführen. Hier sind auch Mac-Nutzer betroffen, sofern sie Silverlight installiert haben. Als kritisch sieht Microsoft auch eine Schwachstelle in Visio 2010 an, die sich mit präparierten Visio-Dateien ausnutzen lässt. Auch der kostenlose Visio-Viewer ist anfällig.

In Sharepoint 2010, einschließlich Sharepoint Foundation, gibt es eine Schwachstelle, die sich über speziell gestaltete Links zum Sharepoint-Server ausnutzen lässt, um erweiterte Berechtigungen zu erlangen. Auch diese Lücke stuft Microsoft als kritisch ein.

Gleich drei ähnliche Schwachstellen im Kernelmodustreiber aller Windows-Versionen (außer RT) ermöglichen es einem Angreifer beliebigen Code im Kernel-Modus auszuführen. Dazu muss er allerdings physischen Zugriff auf den Rechner haben, um einen präparierten USB-Stick anschließen zu können. Ein Benutzer muss nicht angemeldet sein, es genügt also den PC einzuschalten.

Dann kann der Angreifer etwa Daten manipulieren, Dateien auf den USB-Stick kopieren oder auch neue Administratorkonten anlegen. Microsoft stuft diese Lücken nur als hohes Risiko ein, da sie sich nicht aus der Ferne über ein Netzwerk ausnutzen lassen.

Datenlecks gibt es in der Planungs- und Notiz-Software OneNote 2010 sowie in Outlook für Mac, das zum Office-Paket für Mac, Version 2008 und 2011 gehört. Außerdem hat Microsoft das "Tool zum Entfernen bösartiger Software" aktualisiert. Die Version 4.18 nimmt nun auch die Schädlingsfamilie "Worm:Win32/Wecykler" ins Visier.

image.jpg

© Frank Ziemann

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…