Microsoft Patch Day

Microsoft schließt kritische IE-Lücken

Bei seinem monatlichen Patch Day hat Microsoft zehn Security Bulletins veröffentlicht, die 33 Sicherheitslücken behandeln. Allein zwei Updates gelten dem Internet Explorer.

© microsoft

Microsofts neues Logo

Zwei der zehn Security Bulletins, die Microsoft im Rahmen seines Update-Dienstags für Mai veröffentlicht hat, befassen sich mit als kritisch eingestuften Schwachstellen im Internet Explorer (IE). Das Bulletin MS13-037 behandelt elf Lücken in allen unterstützten IE-Versionen (6 bis 10). Dazu stellt Microsoft ein neues kumulatives Sicherheits-Update bereit, das diese und auch alle bislang schon behandelten Schwachstellen beseitigt.

Das Security Bulletin MS13-038 hingegen widmet sich einer Sicherheitslücke im IE 8, die bereits für Web-Angriffe ausgenutzt wird. Zwar gibt Microsoft an, auch der IE 9 sei betroffen, doch es heißt dazu weiter, in der Standardkonfiguration des IE 9 sei diese Lücke nicht ausnutzbar. Die Ende letzter Woche bereit gestellte Interimslösung (Fix-it Tool) muss nicht wieder deinstalliert werden, bevor das nun zur Verfügung stehende Sicherheits-Update ausgeführt wird.

Die acht weiteren Security Bulletins tragen die zweithöchste Risikostufe "hoch". Sie behandeln etwa eine DoS-Lücke in Windows 8, RT und Server 2012, die per HTTP ausgenutzt werden könnte. Das Konferenzprogramm Lync weist eine Schwachstelle auf, über die ein Angreifer eingeschleusten Code ausführen könnte.

Drei Bulletins befassen sich mit Lücken in Office-Produkten. Dies sind Publisher 2003, 2007 und 2010, Word 2003 und der kostenlose Word-Viewer sowie Visio 2003, 2007 und 2010. Die Schwachstellen in Publisher und Word eignen sich, um Code einzuschleusen, die Visio-Lücke ist lediglich ein Datenleck.

Ein weiteres Datenleck steckt in der Programmsammlung Windows Essentials, Versionen 2011 und 2012. Es betrifft das Textmodul Writer. Allerdings stellt Microsoft nur für Windows Essentials 2012 ein Update bereit, Nutzer der älteren Ausgabe sollen zu dieser Version wechseln. Außerdem können Schwachstellen in Kernelmodustreibern aller Windows-Versionen ausgenutzt werden, um sich höhere Berechtigungen zu verschaffen.

Die ebenfalls am 14. Mai veröffentlichte Sicherheitsempfehlung 2846338 gilt einer zunächst nur als DoS-Lücke bekannt gewordenen Schwachstelle in Microsofts Antivirus-Produkten. Wie Microsoft mitteilt, kann darüber jedoch Code eingeschleust und ausgeführt werden. Betroffen sind nur die 64-Bit-Fassungen der Produkte Forefront, System Center 2012 Endpoint Protection, Security Essentials, Windows Defender, Intune Endpoint Protection sowie des MSRT.

Das MSRT, besser bekannt als "Tool zum Entfernen bösartiger Software", verteilt Microsoft Update ohnehin in der neuen Version 4.20. Diese nimmt nun auch die Schädlingsfamilien Win32/FakeDef, Win32/Vicenor und Win32/Kexqoud aufs Korn.

© Frank Ziemann

Microsoft schließt verschiedene kritische Lücken.

Mehr zum Thema

Patch Day

Der Microsoft Patch Day im Juni hält acht Security Bulletins bereit. U.a. werden kritische Lücken im Internet Explorer und im Windows Media Player…
Patch Day

Der Patch Day für Windows, Office & Co startet. Microsoft hat u.a. kritische Sicherheitslücken gestopft, die durch den Hacking-Team-Leak bekannt…
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können. Der…
Falsche Microsoft-Mitarbeiter

Telefon-Betrüger im Namen von Microsoft: Per Malware eingeschleuste Fake-Bluescreens zwingen Opfer zu einem Anruf - bei Abzockern.
Updates sperren

Windows 10 Home installiert Windows Updates automatisch - für Nutzer nicht immer optimal. Ein Microsoft-Tool erlaubt nun doch mehr Kontrolle.