Microsoft Patch Day

Microsoft schließt 26 Sicherheitslücken

Beim Patch Day im Oktober 2013 hat Microsoft acht Security Bulletins veröffentlicht. Kritische Lücken in Windows und im Internet Explorer werden durch Updates geschlossen. Hinzu kommen Updates für Office und Sharepoint.

Zum Patch Day im Oktober gibt es acht Security Bulletins.

© Frank Ziemann

Zum Patch Day im Oktober gibt es acht Security Bulletins.

Am 8. Oktober hat Microsoft bei seinem monatlichen Patch Day Sicherheits-Updates bereit gestellt, die insgesamt 26 Schwachstellen beheben. Vier der acht Security Bulletins behandeln als kritisch eingestufte Sicherheitslücken in Windows, im Internet Explorer und im .NET Framework. Das Sammel-Update für den Internet Explorer 6 bis 11 beseitigt zehn Lücken. Zwei dieser Schwachstellen werden bereits für gezielte Angriffe ausgenutzt.

Ebenfalls als kritisch stuft Microsoft mehrere der sieben Sicherheitslücken ein, die im Bulletin MS13-081 beschrieben sind. Sie betreffen den Kernelmodustreiber aller Windows-Versionen - mit Ausnahme der neuen Versionen 8.1, RT 8.1 und Server 2012 R2, die erst Mitte Oktober auf den Markt kommen. So kann ein Angreifer etwa mit präparierten OpenType-Schriftarten (OTF) beliebigen Code einschleusen und ausführen.

Die Systembibliothek der allgemeinen Windows-Steuerelemente (comctl32.dll) enthält eine kritische Lücke, die vor allem Server für Web-Anwendungen betrifft. Mit einer speziell gestalteten Web-Anforderung an eine ASP.NET-Anwendung könnte ein Angreifer Code einschleusen und ausführen. Anfällig sind wiederum alle Windows-Versionen außer 8.1, RT 8.1 und Server 2012 R2.

Auch drei Schwachstellen im .NET Framework betreffen die gleichen Windows-Versionen wie in den vorgenannten Bulletins. Eine der Lücken ist als kritisch eingestuft und kann über speziell präparierte OpenType Fonts ausgenutzt werden. Die beiden anderen Lücken können zumindest für DoS-Angriffe (Denial of Service) genutzt werden.

Office und Sharepoint Server enthalten ebenfalls Schwachstellen, über die beliebiger Code eingeschleust und ausgeführt werden könnte. Microsoft stuft diese Lücken nicht als kritisch ein, da die Mithilfe eines Benutzers erforderlich ist, der eine speziell präparierte Office-Datei öffnen müsste. Betroffen sind Excel (Office 2007, 2010, 2013, Office für Mac 2011), Word (Office 2003, 2007) sowie Sharepoint Server 2007 bis 2013 und Office Web Apps 2010. Schließlich kann eine Lücke in Microsofts Flash-Alternative Silverlight 5 genutzt werden, um Zugriff auf Informationen auf dem Rechner eines Benutzers zu erlangen.

Microsoft verteilt beim Patch Day Oktober 2013 zudem seinen Schädlingsbekämpfer, das Windows-Tool zum Entfernen bösartiger Software, in der neuen Version 5.5 über Windows Update. Es nimmt nun auch die Schädlingsfamilien Win32/Foidan und Win32/Shiotob ins Visier.

Mehr zum Thema

Microsoft veröffentlicht Updates am ersten Patch Day 2013.
Patch Day

Beim ersten Update-Dienstag (Patch Day) des Jahres hat Microsoft sieben Security Bulletins veröffentlicht. Sie behandeln zwölf Sicherheitslücken,…
Patch Day Juni 2013: Microsoft hat die aktuellen Updates veröffentlicht.
Microsoft Patch Day

Microsoft hat am Patch Day im Juni fünf Security Bulletins veröffentlicht, die 23 Sicherheitslücken in Windows, Internet Explorer und Office…
Zum Patch Day hat Microsoft einige Sicherheitslücken geschlossen.
Microsoft Patch Day

Beim monatlichen Patch Day hat Microsoft im September 13 Security Bulletins veröffentlicht, die insgesamt 47 Sicherheitslücken behandeln.
Symbolbild für Internet-Sicherheit und Spionage
Schwere IE-Lücke

Microsofts Internet Explorer ist von einer schweren Sicherheitslücke betroffen, für die es bislang noch keinen Patch gibt. Hacker können so Code…
Windows 8 Notebook
Patch Day April

Erneut macht Windows Update Probleme: Beim Patch Day April können die Updates KB3004375 und KB3031432 unter Umständen nicht installiert werden.