Microsoft Patch Day
Windows, Office und IE - Updates schließen Sicherheitslücken
Zum Patch Day am 13. Mai hat Microsoft acht Security Bulletins veröffentlicht, die insgesamt 13 Sicherheitslücken behandeln.
Nach dem außerplanmäßigen Sicherheits-Update für den Internet Explorer am 1. Mai, das auch für Windows XP zur Verfügung steht, hatte wohl mancher XP-Nutzer darauf spekuliert, dass Microsoft noch weitere XP-Updates ausliefern könnte. Dem hat der Windows-Hersteller jedoch eine klare Absage erte...
Nach dem außerplanmäßigen Sicherheits-Update für den Internet Explorer am 1. Mai, das auch für Windows XP zur Verfügung steht, hatte wohl mancher XP-Nutzer darauf spekuliert, dass Microsoft noch weitere XP-Updates ausliefern könnte. Dem hat der Windows-Hersteller jedoch eine klare Absage erteilt. Der aus der gleichen Software-Generation stammende Windows Server 2003 und dessen Derivate werden hingegen noch bis Juli 2015 unterstützt. Daraus ergibt sich, dass Microsoft auch weiterhin Sicherheits-Updates für den Internet Explorer 6 bereit stellen wird.
Das gilt etwa für die beiden Schwachstellen, die das neue Security Bulletin MS14-029 behandelt. Sie sind als kritisch eingestuft und betreffen alle IE-Versionen von 6 bis 11. Eine der Lücken wird laut Microsoft bereits für gezielte Angriffe im Internet ausgenutzt. Die zugehörigen Updates für den IE sind nicht kumulativ. Wie schon beim Update vom 1. Mai sollten Windows-Nutzer also darauf achten, dass das neueste kumulative IE-Update installiert ist. Es ist am 8. April erschienen (2950467, MS14-018).
Das Security Bulletin MS14-22 befasst sich mit drei Sicherheitslücken im Sharepoint Server, von denen Microsoft eine als kritisch einstuft. Sie betreffen Sharepoint Server 2007, 2010 und 2013 sowie Office Web Apps 2010 und 2013. Ebenfalls anfällig sind Sharepoint Designer 2007, 2010 und 2013 sowie das Sharepoint Server 2013 Clientkomponenten-SDK.
Die sechs übrigen Security Bulletins behandeln Schwachstellen, deren Risikopotenzial Microsoft mit "hoch" angibt. Zwei der Bulletins befassen sich mit Office-Lücken. Die gravierendste Lücke kann es einem Angreifer ermöglichen, Code einzuschleusen und auszuführen. Sie betrifft allerdings nur Rechner, auf denen die Grammatikprüfung für Chinesisch installiert ist.
Eine Schwachstelle in der gemeinsamen Office-Komponente MSCOMCTL (MS14-024) kann genutzt werden, um den Sicherheitsmechanismus ASLR (Address Space Layout Randomization) zu umgehen. In Kombination mit einer anderen Sicherheitslücke könnte ein Angreifer dadurch seine Chancen verbessern, eingeschleusten Code ausführen zu können.
Weitere wichtige Updates beseitigen Schwachstellen im Windows Shell Handler, im .NET Framework, im Active Directory sowie zwei DoS-Lücken in den Windows Server-Editionen. Letztere könnten durch eine hohe Zahl über das Netzwerk gesendeter iSCSI-Pakete außer Gefecht gesetzt werden.
Außerdem verteilt Microsoft das "Windows-Tool zum Entfernen bösartiger Software" in der neuen Version 5.12, mit der die Schädlingsfamilien Win32/Filcout und Win32/Miuref ins Visier genommen werden.
