Microsoft Patch Day

Windows, Office und IE - Updates schließen Sicherheitslücken

Zum Patch Day am 13. Mai hat Microsoft acht Security Bulletins veröffentlicht, die insgesamt 13 Sicherheitslücken behandeln.

Microsoft bringt acht Security Bulletins zum Patch Day im Mai.

© Screenshot: Frank Ziemann / Microsoft

Microsoft bringt acht Security Bulletins zum Patch Day im Mai.

Nach dem außerplanmäßigen Sicherheits-Update für den Internet Explorer am 1. Mai, das auch für Windows XP zur Verfügung steht, hatte wohl mancher XP-Nutzer darauf spekuliert, dass Microsoft noch weitere XP-Updates ausliefern könnte. Dem hat der Windows-Hersteller jedoch eine klare Absage erteilt. Der aus der gleichen Software-Generation stammende Windows Server 2003 und dessen Derivate werden hingegen noch bis Juli 2015 unterstützt. Daraus ergibt sich, dass Microsoft auch weiterhin Sicherheits-Updates für den Internet Explorer 6 bereit stellen wird.

Das gilt etwa für die beiden Schwachstellen, die das neue Security Bulletin MS14-029 behandelt. Sie sind als kritisch eingestuft und betreffen alle IE-Versionen von 6 bis 11. Eine der Lücken wird laut Microsoft bereits für gezielte Angriffe im Internet ausgenutzt. Die zugehörigen Updates für den IE sind nicht kumulativ. Wie schon beim Update vom 1. Mai sollten Windows-Nutzer also darauf achten, dass das neueste kumulative IE-Update installiert ist. Es ist am 8. April erschienen (2950467, MS14-018).

Das Security Bulletin MS14-22 befasst sich mit drei Sicherheitslücken im Sharepoint Server, von denen Microsoft eine als kritisch einstuft. Sie betreffen Sharepoint Server 2007, 2010 und 2013 sowie Office Web Apps 2010 und 2013. Ebenfalls anfällig sind Sharepoint Designer 2007, 2010 und 2013 sowie das Sharepoint Server 2013 Clientkomponenten-SDK.

Die sechs übrigen Security Bulletins behandeln Schwachstellen, deren Risikopotenzial Microsoft mit "hoch" angibt. Zwei der Bulletins befassen sich mit Office-Lücken. Die gravierendste Lücke kann es einem Angreifer ermöglichen, Code einzuschleusen und auszuführen. Sie betrifft allerdings nur Rechner, auf denen die Grammatikprüfung für Chinesisch installiert ist.

Eine Schwachstelle in der gemeinsamen Office-Komponente MSCOMCTL (MS14-024) kann genutzt werden, um den Sicherheitsmechanismus ASLR (Address Space Layout Randomization) zu umgehen. In Kombination mit einer anderen Sicherheitslücke könnte ein Angreifer dadurch seine Chancen verbessern, eingeschleusten Code ausführen zu können.

Weitere wichtige Updates beseitigen Schwachstellen im Windows Shell Handler, im .NET Framework, im Active Directory sowie zwei DoS-Lücken in den Windows Server-Editionen. Letztere könnten durch eine hohe Zahl über das Netzwerk gesendeter iSCSI-Pakete außer Gefecht gesetzt werden.

Außerdem verteilt Microsoft das "Windows-Tool zum Entfernen bösartiger Software" in der neuen Version 5.12, mit der die Schädlingsfamilien Win32/Filcout und Win32/Miuref ins Visier genommen werden.

Mehr zum Thema

Symbolbild für Internet-Sicherheit und Spionage
Nach Hacking-Team-Enthüllungen

Kritisches Flash Player Update als Download: Nach den Hacking-Team-Enthüllungen werden die aufgedeckten Sicherheitslücken bereits ausgenutzt.
Flash-Lücke entdeckt
Hacking Team Leak

Der Hackerangriff auf die italienische IT-Firma Hacking Team bringt weitere schwere Sicherheitslücken in Adobe Flash ans Tageslicht.
Firefox - Flash Player Block
Mozilla und Facebook reagieren auf neue Exploits

Mozilla reagiert auf die jüngst aufgedeckten Zero-Day-Lücken in Adobes Flash Player. Im Browser Firefox wird das Flash-Plugin vorerst per…
Spam-Mails
Betrug per E-Mail

Eine vermeintliche E-Mail von Amazon führt zur Katastrophe: Ein Video zeigt, wie schnell unachtsame Internet-Nutzer Phishing-Mails zum Opfer fallen…
E-Mails am PC: nicht immer sicher!
"Ihre Aktion ist erforderlich"

Eine vermeintliche E-Mail von Paypal (Betreff: "Ihre Aktion ist erforderlich") wegen der SEPA-Umstellung ist ein Phishing-Angriff. Vorsicht!