April-Patchday: Microsoft stopft drei kritische Löcher in IE und Windows

Betroffen sind alle Versionen des Browsers sowie Windows XP bis Server 2008 R2. Ein Angreifer muss sein Opfer nur auf eine manipulierte Website locken. Anschließend kann er beliebigen Schadcode einschleusen und ausführen.

Microsoft hat im Rahmen des April-Patchdays zwei Updates veröffentlicht, die als kritisch eingestufte Sicherheitslücken schließen. Zwei Löcher stecken in Internet Explorer 6, 7, 8, 9 und 10 und ein weiteres im Remotedesktopclient unter Windows XP, Server 2003, Vista, Server 2008, 7 und Server 2008 R2. Die Anfälligkeiten lassen sich alle zum Einschleusen und Ausführen von Schadcode missbrauchen. Ein Angreifer muss sein Opfer dafür nur zum Besuch einer speziell gestalteten Website verleiten.

Microsoft patcht

Insgesamt stehen seit gestern Abend neun Patches zum Download bereit, die insgesamt 14 Schwachstellen beseitigen sollen. Sieben Updates sollen Fehler beheben, deren Risiko Microsoft als „hoch“ bewertet. Darunter ist eine Lücke in SharePoint Server 2013, die zur Offenlegung persönlicher Informationen führen kann. Allerdings muss ein Angreifer dafür im Besitz der Anmeldedaten einer SharePoint-Website sein.

Zwei Sicherheitsanfälligkeiten im Windows-Kernel und den Kernelmodustreibern könnten es Unbefugten erlauben, sich höhere Nutzerprivilegien zu verschaffen und sich beispielsweise selbst Administratorrechte einzuräumen. Sie treten unter Windows XP bis Windows 8 auf. Auch Windows RT ist betroffen.

Darüber hinaus kann eine Lücke in Active Directory Denial-of-Service-Angriffe ermöglichen. Dafür muss ein Angreifer speziell gestaltete Abfragen an den LDAP-Dienst (Lightweight Directory Access Protocol) senden. Weitere Fehler beseitigt Microsoft im Windows-Client/Server-Runtime-Subsystem, der HTML-Bereinigung und im Windows-Antimalware-Client, der in Windows 8 und Windows RT integriert ist.

Nutzern der Microsoft-Tablets stehen zudem neue Firmware-Updates zur Verfügung. Beim Surface RT behebt das Unternehmen mehrere WLAN-Fehler, die die Zusammenarbeit mit Access-Points betreffen und Verbindungsabbrüche auslösen sollen. Die neue Firmware für das Surface Pro bringt Fixes für Verbindungsprobleme mit dem Type-and-Touch-Cover und bei der Bedienung des UEFI-Bootmenüs per Touchscreen. Zudem kann es vorkommen, dass beim Ein- und Ausschalten des Flugzeugmodus der WLAN-Treiber deaktiviert wird.

Die Aktualisierungen verteilt Microsoft über Windows Update und seine Website. Den Patches für Internet Explorer und den Remotedesktopclient räumt das Unternehmen eine besonders hohe Priorität ein. Vor allem die Entwicklung eines Exploits für die Fernwartungsfunktion von Windows hält es für sehr wahrscheinlich.

[mit Material von Zack Whittaker, ZDNet.com]

Themenseiten: Internet Explorer, Microsoft, Secure-IT, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu April-Patchday: Microsoft stopft drei kritische Löcher in IE und Windows

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *