Microsoft Patch Day
Kritische Lücken im IE und in Office
Microsoft hat beim Patch Day im März sieben Security Bulletins veröffentlicht, die insgesamt 20 Sicherheitslücken behandeln. Als kritisch eingestuft sind Lücken im IE, in Silverlight, Visio und Sharepoint.
Vier der sieben Security Bulletins behandeln Schwachstellen, die Microsoft als kritisch einstuft. Allein neun Lücken werden mit einem neuen kumulativen Sicherheits-Update für den Internet Explorer 6 bis 10 geschlossen. Eine der Lücken ist laut Microsoft bereits zuvor öffentlich bekannt gewesen, ...
Vier der sieben Security Bulletins behandeln Schwachstellen, die Microsoft als kritisch einstuft. Allein neun Lücken werden mit einem neuen kumulativen Sicherheits-Update für den Internet Explorer 6 bis 10 geschlossen. Eine der Lücken ist laut Microsoft bereits zuvor öffentlich bekannt gewesen, Angriffe darauf gebe es jedoch noch nicht. Die beim Hacker-Wettbewerb Pwn2own in der letzten Woche ausgenutzte IE-Lücke bleibt vorerst bestehen.
In Silverlight 5, Microsofts Flash-Alternative, steckt eine Sicherheitslücke, die es einem Angreifer ermöglichen kann, Code einzuschleusen und auszuführen. Hier sind auch Mac-Nutzer betroffen, sofern sie Silverlight installiert haben. Als kritisch sieht Microsoft auch eine Schwachstelle in Visio 2010 an, die sich mit präparierten Visio-Dateien ausnutzen lässt. Auch der kostenlose Visio-Viewer ist anfällig.
In Sharepoint 2010, einschließlich Sharepoint Foundation, gibt es eine Schwachstelle, die sich über speziell gestaltete Links zum Sharepoint-Server ausnutzen lässt, um erweiterte Berechtigungen zu erlangen. Auch diese Lücke stuft Microsoft als kritisch ein.
Gleich drei ähnliche Schwachstellen im Kernelmodustreiber aller Windows-Versionen (außer RT) ermöglichen es einem Angreifer beliebigen Code im Kernel-Modus auszuführen. Dazu muss er allerdings physischen Zugriff auf den Rechner haben, um einen präparierten USB-Stick anschließen zu können. Ein Benutzer muss nicht angemeldet sein, es genügt also den PC einzuschalten.
Dann kann der Angreifer etwa Daten manipulieren, Dateien auf den USB-Stick kopieren oder auch neue Administratorkonten anlegen. Microsoft stuft diese Lücken nur als hohes Risiko ein, da sie sich nicht aus der Ferne über ein Netzwerk ausnutzen lassen.
Datenlecks gibt es in der Planungs- und Notiz-Software OneNote 2010 sowie in Outlook für Mac, das zum Office-Paket für Mac, Version 2008 und 2011 gehört. Außerdem hat Microsoft das "Tool zum Entfernen bösartiger Software" aktualisiert. Die Version 4.18 nimmt nun auch die Schädlingsfamilie "Worm:Win32/Wecykler" ins Visier.
