Patch Day März

Kritische Lücken im Internet Explorer gestopft

Zum Patch Day März hat Microsoft Patches und Updates veröffentlicht, die 23 Sicherheitslücken in Windows, im Internet Explorer und in Silverlight beseitigen.

Beim aktuellen Patch Day wurden 18 Lücken im Internet Explorer beseitigt.

© Frank Ziemann

Beim aktuellen Patch Day wurden 18 Lücken im Internet Explorer beseitigt.

Zum Patch Day März 2014 hat Microsoft fünf Security Bulletins veröffentlicht. Darunter sind zwei, die als kritisch eingestufte Schwachstellen behandeln. Der Löwenanteil von 18 Lücken entfällt auf den Internet Explorer (IE), dessen Schwachstellen Microsoft allesamt als kritisch einstuft. Zwei dieser Lücken werden laut Microsoft bereits für Angriffe im Web ausgenutzt - eine für Angriffe auf den IE 10, die andere für gezielte Attacken gegen Nutzer des IE 8.

Ein im Februar bereit gestelltes Fix-it Tool, das den Angriffsvektor der IE-10-Attacken blockiert, wird mit dem neuen kumulativen Sicherheits-Update für Internet Explorer 6 bis 11 unnötig. Nutzer neuerer Windows-Versionen (ab Vista), die das IE-Update vom 11. Februar eingespielt haben, sollten auch bereits vor den Angriffen geschützt sein, die auf eine Lücke im IE 8 zielen. Mit dem Update am vorherigen Patch Day hatte Microsoft bereits den Sicherheitsmechanismus ASLR (Address Space Layout Randomization) verbessert.

Fast alle Windows-Versionen sind zudem anfällig für einen Angriff mittels speziell präparierter JPEG-Dateien, die etwa in Web-Seiten oder Mails eingebaut sein könnten. Der nach Microsofts Einschätzung nur schwer ausnutzbare Fehler steckt in der Grafikkomponente DirectShow, die bei der Analyse von JPEG-Bildern patzt. Gelingt der Angriff dennoch, kann der Angreifer beliebigen Code einschleusen und ausführen.

Die Lücken in Silverlight und Windows, die Microsoft in den übrigen drei Bulletins behandelt, könnten genutzt werden, um Sicherheitsfunktionen zu umgehen oder sich höhere Berechtigungen zu verschaffen. Microsoft geht jedoch nur bei den beiden Lücken im Kernelmodustreiber "win32k.sys" davon aus, dass es eine zuverlässig ausnutzbare Angriffsmöglichkeit gibt.

Außerdem verteilt Microsoft das "Windows-Tool zum Entfernen bösartiger Software" in der neuen Version 5.10, das nun auch die Schädlingsfamilien "Wysotot" und "Spacekito" aufs Korn nimmt. Hinzu kommt ein Update für den im IE 10 und 11 für Windows 8.x und RT integrierten Flash Player.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…