Microsoft Patch Day

Microsoft schließt im September 47 Lücken

Beim monatlichen Patch Day hat Microsoft im September 13 Security Bulletins veröffentlicht, die insgesamt 47 Sicherheitslücken behandeln. Als kritisch stuft Microsoft Lücken in Windows, Internet Explorer, Office und Sharepoint ein.

Zum Patch Day hat Microsoft einige Sicherheitslücken geschlossen.

© Screenshot: Frank Ziemann / Microsoft

Zum Patch Day hat Microsoft einige Sicherheitslücken geschlossen.

Für den Patch Day im September hatte Microsoft 14 Security Bulletins angekündigt. Es sind dann lediglich 13 geworden, die haben es jedoch auch in sich. Vier Bulletins behandeln als kritisch eingestufte Schwachstellen in Windows, im Internet Explorer sowie in Office und Sharepoint Server. Weitere Office-Lücken sieht Microsoft nicht als kritisch an, obwohl sie es einem Angreifer ermöglichen können, Code einzuschleusen und auszuführen.

Der Internet Explorer 6 bis 10 für alle Windows-Versionen erhält ein neues kumulatives Sicherheits-Update, das alle bisherigen Updates enthält und zehn weitere Lücken schließt. Im Sharepoint Server 2003 bis 2013 hat Microsoft ebenfalls zehn Schwachstellen behoben, von denen jedoch nur eine als kritisch gilt. Eine als kritisch eingestufte OLE-Lücke betrifft nur Windows XP und Server 2003. Sie kann etwa mit präparierten Visio-Dateien ausgenutzt werden oder auch über die Vorschau im Windows Explorer.

Auch eine Schwachstelle in Outlook 2007 und 2010 ist als kritisch eingestuft. Sie könnte mit einer speziell gestalteten Mail ausgenutzt werden, die viele verschachtelte S/MIME-Zertifikate enthält. Dazu genügt bereits die Ansicht in der Mail-Vorschau. Microsoft sieht es allerdings als wenig wahrscheinlich an, dass es jemandem gelingen könnte, einen zuverlässigen Exploit für diese "Use-after-free"-Lücke zu erstellen.

Vier weitere Security Bulletins behandeln gravierende Schwachstellen in Microsoft Office. Lücken in Word, Excel und Access können ausgenutzt werden, um eingeschleusten Code auszuführen. Dazu muss jedoch ein Benutzer eine speziell präparierte Datei öffnen. Für solche Lücken vergibt Microsoft regelmäßig nur die zweithöchste Risikoeinstufung "hoch". Das Bulletin MS13-075 betrifft nur chinesische Office-2010-Versionen sowie diejenigen, bei denen der Eingabemethoden-Editor (IME) für Pinyin (vereinfachtes Chinesisch) als optionale Komponente installiert ist.

Wer ein Windows-Theme aus einer nicht vertrauenswürdigen Quelle installiert, kann sich unter Umständen Malware einfangen. Eine Sicherheitslücke in Windows XP und Server 2003 kann mit speziell präparierten Design-Dateien ausgenutzt werden, um eingeschleusten Code auszuführen. Die Schwachstelle ist auch bei Vista und Server 2008 vorhanden, kann jedoch in der standardmäßigen Installation nicht ausgenutzt werden. Das Update sollte jedoch vorsichtshalber trotzdem eingespielt werden.

Sieben Sicherheitslücken hat Microsoft im Kernelmodustreiber aller bisherigen Windows-Versionen beseitigt. Ein angemeldeter Benutzer, der eine dieser Lücken ausnutzt, kann sich höhere Berechtigungen verschaffen. In den neuen, noch nicht allgemein verfügbaren Windows-Versionen 8.1, RT 8.1 und Server 2012 R2 sind diese Schwachstellen offenbar bereits behoben. Drei weitere Bulletins behandeln Lücken in Frontpage, im Dienststeuerungs-Manager sowie im Active Directory. Das angekündigte Bulletin zur einer DoS-Lücke im .NET-Framework hat Microsoft offenbar vertagt.

Außerdem verteilt Microsoft über Windows Update das "Windows-Tool zum Entfernen bösartiger Software" in der neuen Version 5.4. Es nimmt nun auch die Schädlingsfamilie "Win32/Simda" ins Visier. Dabei handelt es sich um Trojanische Pferde, die auf Online-Banking spezialisiert sind.

Mehr zum Thema

Patch Day Juni 2013: Microsoft hat die aktuellen Updates veröffentlicht.
Microsoft Patch Day

Microsoft hat am Patch Day im Juni fünf Security Bulletins veröffentlicht, die 23 Sicherheitslücken in Windows, Internet Explorer und Office…
Microsoft teilt die Updates für den Patch Day September mit.
Microsoft Patch Day voraus

Mit den Patch Day September Updates will Microsoft etliche Lücken in Windows, Office und Internet Explorer schließen.
Zum Patch Day im Oktober gibt es acht Security Bulletins.
Microsoft Patch Day

Microsoft hat am Patch Day Oktober 2013 acht Security Bulletins veröffentlicht. Es gibt Updates für Lücken in Windows, Internet Explorer, Office…
Der vergangene Patch Day hat Office 2013 lahmgelegt.
Patch Day legt Office 2013 lahm

Microsofts Patch Day am 10. Juni hat Sicherheitslücken - vor allem im Internet-Explorer - geschlossen. Dafür macht Office 2013 Probleme.
Symbolbild für Internet-Sicherheit und Spionage
Schwere IE-Lücke

Microsofts Internet Explorer ist von einer schweren Sicherheitslücke betroffen, für die es bislang noch keinen Patch gibt. Hacker können so Code…