Microsoft Patch Day

Microsoft schließt im September 47 Lücken

Beim monatlichen Patch Day hat Microsoft im September 13 Security Bulletins veröffentlicht, die insgesamt 47 Sicherheitslücken behandeln. Als kritisch stuft Microsoft Lücken in Windows, Internet Explorer, Office und Sharepoint ein.

Zum Patch Day hat Microsoft einige Sicherheitslücken geschlossen.

© Screenshot: Frank Ziemann / Microsoft

Zum Patch Day hat Microsoft einige Sicherheitslücken geschlossen.

Für den Patch Day im September hatte Microsoft 14 Security Bulletins angekündigt. Es sind dann lediglich 13 geworden, die haben es jedoch auch in sich. Vier Bulletins behandeln als kritisch eingestufte Schwachstellen in Windows, im Internet Explorer sowie in Office und Sharepoint Server. Weitere Office-Lücken sieht Microsoft nicht als kritisch an, obwohl sie es einem Angreifer ermöglichen können, Code einzuschleusen und auszuführen.

Der Internet Explorer 6 bis 10 für alle Windows-Versionen erhält ein neues kumulatives Sicherheits-Update, das alle bisherigen Updates enthält und zehn weitere Lücken schließt. Im Sharepoint Server 2003 bis 2013 hat Microsoft ebenfalls zehn Schwachstellen behoben, von denen jedoch nur eine als kritisch gilt. Eine als kritisch eingestufte OLE-Lücke betrifft nur Windows XP und Server 2003. Sie kann etwa mit präparierten Visio-Dateien ausgenutzt werden oder auch über die Vorschau im Windows Explorer.

Auch eine Schwachstelle in Outlook 2007 und 2010 ist als kritisch eingestuft. Sie könnte mit einer speziell gestalteten Mail ausgenutzt werden, die viele verschachtelte S/MIME-Zertifikate enthält. Dazu genügt bereits die Ansicht in der Mail-Vorschau. Microsoft sieht es allerdings als wenig wahrscheinlich an, dass es jemandem gelingen könnte, einen zuverlässigen Exploit für diese "Use-after-free"-Lücke zu erstellen.

Vier weitere Security Bulletins behandeln gravierende Schwachstellen in Microsoft Office. Lücken in Word, Excel und Access können ausgenutzt werden, um eingeschleusten Code auszuführen. Dazu muss jedoch ein Benutzer eine speziell präparierte Datei öffnen. Für solche Lücken vergibt Microsoft regelmäßig nur die zweithöchste Risikoeinstufung "hoch". Das Bulletin MS13-075 betrifft nur chinesische Office-2010-Versionen sowie diejenigen, bei denen der Eingabemethoden-Editor (IME) für Pinyin (vereinfachtes Chinesisch) als optionale Komponente installiert ist.

Wer ein Windows-Theme aus einer nicht vertrauenswürdigen Quelle installiert, kann sich unter Umständen Malware einfangen. Eine Sicherheitslücke in Windows XP und Server 2003 kann mit speziell präparierten Design-Dateien ausgenutzt werden, um eingeschleusten Code auszuführen. Die Schwachstelle ist auch bei Vista und Server 2008 vorhanden, kann jedoch in der standardmäßigen Installation nicht ausgenutzt werden. Das Update sollte jedoch vorsichtshalber trotzdem eingespielt werden.

Sieben Sicherheitslücken hat Microsoft im Kernelmodustreiber aller bisherigen Windows-Versionen beseitigt. Ein angemeldeter Benutzer, der eine dieser Lücken ausnutzt, kann sich höhere Berechtigungen verschaffen. In den neuen, noch nicht allgemein verfügbaren Windows-Versionen 8.1, RT 8.1 und Server 2012 R2 sind diese Schwachstellen offenbar bereits behoben. Drei weitere Bulletins behandeln Lücken in Frontpage, im Dienststeuerungs-Manager sowie im Active Directory. Das angekündigte Bulletin zur einer DoS-Lücke im .NET-Framework hat Microsoft offenbar vertagt.

Außerdem verteilt Microsoft über Windows Update das "Windows-Tool zum Entfernen bösartiger Software" in der neuen Version 5.4. Es nimmt nun auch die Schädlingsfamilie "Win32/Simda" ins Visier. Dabei handelt es sich um Trojanische Pferde, die auf Online-Banking spezialisiert sind.

Mehr zum Thema

Patch Day Juni 2013: Microsoft hat die aktuellen Updates veröffentlicht.