Microsoft Patch Day

Kritische Lücken im IE und in Office

Microsoft hat beim Patch Day im März sieben Security Bulletins veröffentlicht, die insgesamt 20 Sicherheitslücken behandeln. Als kritisch eingestuft sind Lücken im IE, in Silverlight, Visio und Sharepoint.

© Microsoft

Kritische Lücken im IE und in Office

Vier der sieben Security Bulletins behandeln Schwachstellen, die Microsoft als kritisch einstuft. Allein neun Lücken werden mit einem neuen kumulativen Sicherheits-Update für den Internet Explorer 6 bis 10 geschlossen. Eine der Lücken ist laut Microsoft bereits zuvor öffentlich bekannt gewesen, Angriffe darauf gebe es jedoch noch nicht. Die beim Hacker-Wettbewerb Pwn2own in der letzten Woche ausgenutzte IE-Lücke bleibt vorerst bestehen.

In Silverlight 5, Microsofts Flash-Alternative, steckt eine Sicherheitslücke, die es einem Angreifer ermöglichen kann, Code einzuschleusen und auszuführen. Hier sind auch Mac-Nutzer betroffen, sofern sie Silverlight installiert haben. Als kritisch sieht Microsoft auch eine Schwachstelle in Visio 2010 an, die sich mit präparierten Visio-Dateien ausnutzen lässt. Auch der kostenlose Visio-Viewer ist anfällig.

In Sharepoint 2010, einschließlich Sharepoint Foundation, gibt es eine Schwachstelle, die sich über speziell gestaltete Links zum Sharepoint-Server ausnutzen lässt, um erweiterte Berechtigungen zu erlangen. Auch diese Lücke stuft Microsoft als kritisch ein.

Gleich drei ähnliche Schwachstellen im Kernelmodustreiber aller Windows-Versionen (außer RT) ermöglichen es einem Angreifer beliebigen Code im Kernel-Modus auszuführen. Dazu muss er allerdings physischen Zugriff auf den Rechner haben, um einen präparierten USB-Stick anschließen zu können. Ein Benutzer muss nicht angemeldet sein, es genügt also den PC einzuschalten.

Dann kann der Angreifer etwa Daten manipulieren, Dateien auf den USB-Stick kopieren oder auch neue Administratorkonten anlegen. Microsoft stuft diese Lücken nur als hohes Risiko ein, da sie sich nicht aus der Ferne über ein Netzwerk ausnutzen lassen.

Datenlecks gibt es in der Planungs- und Notiz-Software OneNote 2010 sowie in Outlook für Mac, das zum Office-Paket für Mac, Version 2008 und 2011 gehört. Außerdem hat Microsoft das "Tool zum Entfernen bösartiger Software" aktualisiert. Die Version 4.18 nimmt nun auch die Schädlingsfamilie "Worm:Win32/Wecykler" ins Visier.

© Frank Ziemann

Gratis-Office für Schüler, Studenten und Lehrende

Quelle: Microsoft
Microsoft Office ist kostenlos für Schüler, Studenten und Lehrende. Die Redmonder zeigen, wie Sie es bekommen können.

Mehr zum Thema

Patch Day

Der Microsoft Patch Day im Juni hält acht Security Bulletins bereit. U.a. werden kritische Lücken im Internet Explorer und im Windows Media Player…
Patch Day

Der Patch Day für Windows, Office & Co startet. Microsoft hat u.a. kritische Sicherheitslücken gestopft, die durch den Hacking-Team-Leak bekannt…
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können. Der…
Falsche Microsoft-Mitarbeiter

Telefon-Betrüger im Namen von Microsoft: Per Malware eingeschleuste Fake-Bluescreens zwingen Opfer zu einem Anruf - bei Abzockern.
Updates sperren

Windows 10 Home installiert Windows Updates automatisch - für Nutzer nicht immer optimal. Ein Microsoft-Tool erlaubt nun doch mehr Kontrolle.