Office und Windows: Microsoft schließt 19 Lücken

Drei der acht Security Bulletins befassen sich mit Sicherheitslücken in Windows und im Internet Explorer, die Microsoft als kritisch einstuft. Für den Internet Explorer 6 bis 11 stellt Microsoft ein neues kumulatives Sicherheits-Update bereit, das insgesamt zehn Schwachstellen behebt. Eingeschleuster Code würde mit den Rechten des angemeldeten Benutzers ausgeführt.

Eine Lücke in der Grafikschnittstelle GDI erlaubt es einem Angreifer mit Hilfe speziell präparierter Write-Dateien (.wri) eingeschleusten Code auszuführen, sofern eine solche Datei in WordPad geöffnet wird. Dies betrifft alle Windows-Versionen. Bei dieser GDI-Lücke handelt es sich nicht um die in der letzten Woche durch gezielte Angriffe im Web bekannt gewordene Schwachstelle in GDI+.

Im Bulletin MS13-090 geht es um eine Sicherheitslücke in ActiveX, die bereits für gezielte Angriffe im Web ausgenutzt wird. Die Schwachstelle wird mit einem Update behoben, das das Kill-Bit für das ActiveX-Steuerelement "InformationCardSigninHelper Class" setzt. Ein Kill-Bit ist ein Registry-Eintrag, der die Ausführung einer bestimmten ActiveX-Komponente unterbindet.

Im Office-Bulletin MS13-091 geht es um drei Sicherheitslücken in allen Office-Editionen für Windows, einschließlich Office 2013 RT. Mit Hilfe eines speziell präparierten WordPerfect-Dokuments könnte ein Angreifer Code einschleusen und ausführen. MS13-094 behandelt eine Lücke in Outlook 2007, 2010, 2013 sowie Outlook 2013 RT. Nutzt ein Angreifer diese Lücke aus, kann er etwa die IP-Adresse des Rechners ermitteln und TCP-Ports öffnen.

Neben weiteren Windows-Updates verteilt Microsoft auch seinen Schädlingsbekämpfer "Windows-Tool zum Entfernen bösartiger Software" in der neuen Version 5.2. Damit nimmt das Tool die Schädlingsfamilien Win32/Napolar und Win32/Deminnix aufs Korn.