Microsoft Patch Day

Office-Update schließt kritische Word-Lücke

Microsoft bringt zum Patch Day vier Security Bulletins. Zwei behandeln als kritisch eingestufte Lücken im Internet Explorer und in allen Office-Versionen.

Wir haben Infos zum aktuellen Patch Day von Microsoft.

Mit dem Patch Day am 8. April hat Microsoft den offiziellen Schlussstrich unter Windows XP und Microsoft Office 2003 gezogen. Weitere Sicherheits-Updates wird es für diese Software nicht mehr geben, außer für einige Großkunden, die sich eine Fristverlängerung erkauft haben. Je zwei der vier ges...

Mit dem Patch Day am 8. April hat Microsoft den offiziellen Schlussstrich unter Windows XP und Microsoft Office 2003 gezogen. Weitere Sicherheits-Updates wird es für diese Software nicht mehr geben, außer für einige Großkunden, die sich eine Fristverlängerung erkauft haben. Je zwei der vier gestern Abend veröffentlichten Security Bulletins betreffen auch Windows XP und Office 2003, je eines mit mindestens einer als kritisch eingestuften Sicherheitslücke.

Im Security Bulletin MS14-017 geht es um drei Schwachstellen in Microsoft Office, genauer gesagt in Word. Betroffen sind alle Office-Versionen von 2003 bis 2013, einschließlich Office für Mac 2011, sowie der kostenlose WordViewer, Office Web Apps und SharePoint Server 2010/2013. Eine der Lücken wird bereits für gezielte Mail-Angriffe mit präparierten RTF-Dateien ausgenutzt. Angreifer können im Erfolgsfall beliebigen Code einschleusen und ausführen.

Alle Versionen (6 bis 11) des Internet Explorer (IE) erhalten ein neues kumulatives Sicherheits-Update, das insgesamt sechs Schwachstellen im Microsoft-Browser beseitigt. Fehlerhafte Speicherzugriffe des Internet Explorer können es einem Angreifer ermöglichen, Code einzuschleusen und im Kontext des angemeldeten Benutzers auszuführen. Zwei dieser Lücken betreffen auch den IE 6 unter Windows XP. Der IE 10 ist nicht betroffen, erhält jedoch trotzdem ein Update, das nicht sicherheitsrelevant ist. Für den IE 11 ist das standardmäßig angebotene Sicherheits-Update nicht kumulativ - ein alternatives, kumulatives Update ist ebenfalls verfügbar.

Alle Windows-Versionen von XP über RT 8.1 bis Server 2012 R2 enthalten eine Schwachstelle beim Umgang mit Stapelverarbeitungsdateien (.bat, .cmd), die auf Netzwerkfreigaben liegen. Gelingt es einem Angreifer, einen Benutzer dazu zu bringen, einen Netzwerkpfad mit einer gewissen Vertrauensstellung zu öffnen und eine dort abgelegte BAT- oder CMD-Datei auszuführen, kann er beliebigen Code ausführen. Er könnte etwa Programme installieren, Dateien manipulieren oder Benutzerkonten anlegen.

Microsoft Publisher aus Office 2003 und 2007 enthält eine Sicherheitslücke bei der Verarbeitung speziell präparierter PUB-Dateien. Ein Angreifer könnte mit Hilfe einer solcher Publisher-Datei beliebigen Code einschleusen und mit den Rechten des Benutzers ausführen.

Außerdem reicht Microsoft via Windows Update ein Sicherheits-Update für den Flash Player durch, der im Internet Explorer 10 und 11 unter Windows 8.x, RT sowie Server 2012 / 2012 R2 integriert ist. Für fast alle anderen Web-Browser, einschließlich IE 10 und 11 unter Windows 7 und Server 2008 R2, gibt es das Update direkt bei Adobe. Nur Googles Browser Chrome bringt den neuen Flash Player 13.0.0.182 in der gestern bereit gestellten Chrome-Version 34.0.1847.116 selbst mit.

Schließlich hat Microsoft auch noch das "Windows-Tool zum Entfernen bösartiger Software" in der neuen Version 5.11 im Angebot. Es erkennt und entfernt nun auch die Schädlingsfamilien Win32/Ramdo und Win32/Kilim.