Microsoft Patch Day

Microsoft schließt 26 Sicherheitslücken

Beim Patch Day im Oktober 2013 hat Microsoft acht Security Bulletins veröffentlicht. Kritische Lücken in Windows und im Internet Explorer werden durch Updates geschlossen. Hinzu kommen Updates für Office und Sharepoint.

Zum Patch Day im Oktober gibt es acht Security Bulletins.

© Frank Ziemann

Zum Patch Day im Oktober gibt es acht Security Bulletins.

Am 8. Oktober hat Microsoft bei seinem monatlichen Patch Day Sicherheits-Updates bereit gestellt, die insgesamt 26 Schwachstellen beheben. Vier der acht Security Bulletins behandeln als kritisch eingestufte Sicherheitslücken in Windows, im Internet Explorer und im .NET Framework. Das Sammel-Update für den Internet Explorer 6 bis 11 beseitigt zehn Lücken. Zwei dieser Schwachstellen werden bereits für gezielte Angriffe ausgenutzt.

Ebenfalls als kritisch stuft Microsoft mehrere der sieben Sicherheitslücken ein, die im Bulletin MS13-081 beschrieben sind. Sie betreffen den Kernelmodustreiber aller Windows-Versionen - mit Ausnahme der neuen Versionen 8.1, RT 8.1 und Server 2012 R2, die erst Mitte Oktober auf den Markt kommen. So kann ein Angreifer etwa mit präparierten OpenType-Schriftarten (OTF) beliebigen Code einschleusen und ausführen.

Die Systembibliothek der allgemeinen Windows-Steuerelemente (comctl32.dll) enthält eine kritische Lücke, die vor allem Server für Web-Anwendungen betrifft. Mit einer speziell gestalteten Web-Anforderung an eine ASP.NET-Anwendung könnte ein Angreifer Code einschleusen und ausführen. Anfällig sind wiederum alle Windows-Versionen außer 8.1, RT 8.1 und Server 2012 R2.

Auch drei Schwachstellen im .NET Framework betreffen die gleichen Windows-Versionen wie in den vorgenannten Bulletins. Eine der Lücken ist als kritisch eingestuft und kann über speziell präparierte OpenType Fonts ausgenutzt werden. Die beiden anderen Lücken können zumindest für DoS-Angriffe (Denial of Service) genutzt werden.

Office und Sharepoint Server enthalten ebenfalls Schwachstellen, über die beliebiger Code eingeschleust und ausgeführt werden könnte. Microsoft stuft diese Lücken nicht als kritisch ein, da die Mithilfe eines Benutzers erforderlich ist, der eine speziell präparierte Office-Datei öffnen müsste. Betroffen sind Excel (Office 2007, 2010, 2013, Office für Mac 2011), Word (Office 2003, 2007) sowie Sharepoint Server 2007 bis 2013 und Office Web Apps 2010. Schließlich kann eine Lücke in Microsofts Flash-Alternative Silverlight 5 genutzt werden, um Zugriff auf Informationen auf dem Rechner eines Benutzers zu erlangen.

Microsoft verteilt beim Patch Day Oktober 2013 zudem seinen Schädlingsbekämpfer, das Windows-Tool zum Entfernen bösartiger Software, in der neuen Version 5.5 über Windows Update. Es nimmt nun auch die Schädlingsfamilien Win32/Foidan und Win32/Shiotob ins Visier.