März-Patchday: Microsoft schließt kritische Lücken in Windows, Office und IE

Microsoft hat an seinem März-Patchday 14 Sicherheitsupdates veröffentlicht. Davon schließen 5 insgesamt 16 als kritisch eingestufte Lücken. Sie stecken in Internet Explorer, Windows, im Skriptmodul VBScript, im Adobe-Schriftartentreiber, in Office und SharePoint. Ein Angreifer könnte die Anfälligkeiten benutzen, um die vollständige Kontrolle über ein betroffenes System zu erhalten. Ein Opfer muss er dafür unter Umständen lediglich auf eine speziell präparierte Website locken.

PatchdayDas kumulative Update für Internet Explorer 6, 7, 8, 9, 10 und 11 beseitigt unter anderem die Anfang Februar gemeldete Zero-Day-Lücke im Microsoft-Browser, die Phishing-Angriffe ermöglicht. Außerdem sind Windows Server 2003, Vista, Server 2008, 7, Server 2008 R2, 8 und 8.1, Server 2012 und 2012 R2 sowie RT und RT 8.1 anfällig. Der Office-Patch aktualisiert Office 2007, 2010, 2013 und 2013 RT, Word Viewer und Excel Viewer, das Office Compatibility Pack sowie SharePoint Server 2007, 2010, 2013, SharePoint Server 2010 Service und 2013 Service und die Office Web Apps.

Acht weitere Patches, die Microsoft als wichtig einstuft, stehen für Windows zur Verfügung. Darunter ist ein Fix für die Freak-Lücke, die es einem Angreifer unter Umständen erlaubt, verschlüsselten Datenverkehr abzufangen und zu entschlüsseln. Das Unternehmen aus Redmond hatte Ende vergangener Woche vor der Anfälligkeit gewarnt, die Apple inzwischen in iOS und auch OS X beseitigt hat.

Außerdem können mehrere Lecks in den Kernelmodustreibern laut Microsoft eine Erhöhung von Berechtigungen erlauben. Eine Sicherheitsanfälligkeit, die bei der Verarbeitung von PNG-Dateien auftritt, kann wiederum zur Offenlegung von Informationen führen. Außerdem soll es nach Installation der Updates nicht mehr möglich sein, die Funktion Netlogon für Spoofing oder den Taskplaner zur Umgehung von Sicherheitsfunktionen zu benutzen. Ein Patch soll zudem Denial-of-Service-Angriffe über das Remotedesktopprotokoll verhindern.

Schließlich hat Microsoft auch noch ein Loch in Exchange Server 2013 gestopft. Ein speziell gestalteter Link zu einer Outlook-Web-App-Website könnte eine Erhöhung von Benutzerrechten zur Folge haben. Ein Angreifer müsste einen Nutzer lediglich dazu bringen, auf seinen solchen Link zu klicken.

An Nutzer des Internet Explorer 11 verteilt Microsoft auch noch ein Update für den integrierten Flash Player. Adobe hat bisher allerdings noch keine Details zu den Änderungen oder gar beseitigten Anfälligkeiten genannt. Ein von Google gestern bereitgestelltes Update für seinen Browser Chrome, der ebenfalls ab Werk das Flash-Plug-in enthält, erhöht die Versionsnummer des Flash Player jedoch von 16.0.0.305 auf 17.0.0.134.

Darüber hinaus hat Microsoft auch zahlreiche nicht sicherheitsrelevante Updates veröffentlicht. Für Windows 8.1 stehen alleine 16 zusätzliche Korrekturen zur Verfügung, die nicht näher genannte Fehler beheben sollen.

[Update 13.40 Uhr]

Windows 10 Technical Preview Build 9926 hat zwar auch zahlreiche Sicherheitsupdates erhalten. Die Freak-Lücke besteht allerdings weiterhin, weil der dafür vorgesehene Patch KB3046049 (MS15-031) nicht für Windows 10 zur Verfügung steht.

Weitere Artikel zum Thema:

[mit Material von Ed Bott, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Neueste Kommentare 

7 Kommentare zu März-Patchday: Microsoft schließt kritische Lücken in Windows, Office und IE

Kommentar hinzufügen
  • Am 11. März 2015 um 10:31 von PeerH

    Apple, Microsoft haben Freak eliminiert – was macht Google? Lässt warten – 60% der Anwender auf Godot warten. Klasse!

    Aber die anderen anklagen, weil sie keine ‚Fristen‘ einhalten. Tja, nun zerbröselt das Glashaus, in dem man sitzt.

    • Am 11. März 2015 um 12:14 von Falsch

      Google Chrome in seiner jeweils aktuellsten Version ist safe – auf iOS, OSX, Windows und unter Android. Der Konkurrenz da Tatlosigkeit vorzuwerfen, ist schlichtweg falsch.

      • Am 11. März 2015 um 12:53 von

        Hier steht, dass Apple und Google am Fix arbeiten – 04. März: einen Hinweis, dass Google bei Lollipop gefixed hat, vermisse ich seitdem

        http://www.zdnet.de/88220818/sicherheitsluecke-freak-bedroht-apple-und-android-geraete-blackberry-auch-betroffen/

        „Standard-Browser für Android (Lollipop) Vorhanden: ja“

        Also muss Google noch etwas liefern.

        Und über die 60% 4.3er Androiden müssen wir ja nicht diskutieren, die kriegen sehr wahrscheinlich NIE das Fix – sind ja nur eine (!) Milliarde Androiden.

      • Am 11. März 2015 um 13:00 von PeerH

        Apple und Microsoft haben am 10. März die Lücke geschlossen, Google hat beim Lollipop Standardbrowser noch eine Baustelle offen, also ist meine Aussage nicht falsch.

        Und ich habe nicht Tatenlosigkeit vorgeworfen, sondern dass sie warten lassen … und da sie als letzter liefern, stimmt das doch wohl, oder? Aber auf andere haben sie mit Steinen geworfen.

        Um einen Kritikpunkt aus diesem Forum zu verwenden: „Es kann doch für einen Konzern wie Google, der Milliarden Gewinne einfährt, nicht so lange dauern ein schäbiges Fix bereitzustellen? Ist doch nur der Android Lollipop Standardbrowser?“

        Richtig? Eben.

      • Am 11. März 2015 um 13:37 von @Nö

        „Seit fast einem Monat ist die Beta von WebView im Play Store erhältlich. Google setzt damit sein Versprechen um, wichtige Komponenten seines Mobilbetriebssystems künftig direkt über den Play Store zu aktualisieren. Die Funktion an sich hatte es schon mit den Google Play Services 5.0 eingeführt. Google kann über den Dienst auch auf Geräten mit älteren Android-Versionen Schwachstellen schließen, ohne dass das Betriebssystem aktualisiert werden muss.“

        (http://www.zdnet.de/88221502/google-schliesst-freak-luecke-android-webview/)

        Damit sollte das Thema gegessen sein.

        „Und über die 60% 4.3er Androiden müssen wir ja nicht diskutieren, die kriegen sehr wahrscheinlich NIE das Fix – sind ja nur eine (!) Milliarde Androiden.“

        Das ist ja nicht Googles Problem. Das Update auf die jeweils neueste Version wird vom Unternehmen bereit gestellt, es bleibt dann i.d.R. bei den Smartphone-Herstellern liegen. Ergo: Es sind die Samsungs, HTCs, Huaweis und co., die man für die Misere verantwortlich machen kann – sicherlich aber nicht Google selbst.

        • Am 12. März 2015 um 13:14 von PeerH

          Frage: was macht die ‚Beta‘ seit fast einem Monat da? ;-)

          Du bist bereits bei: ham se alle schon? Aber halt: Beta, Entwickler – ist sie schon für jeden verfügbar?

          Und nein: nur, weil Google Android 5 heraus gubt, sind nicht die Hersteller schuldig, weil Google ja KEIN Fix für v4.3 Androiden herausgibt.
          Android 4.4 oder 5 als ‚Fix‘ für Android 4.3 zu deklarieren ist schon sarkastisch. Als ob Windows 8 ein Fix für Windows Vista wäre. ;-)
          Netter Versuch. 4.3 Anwender sind nun von gewollter Obsoleszenz bedroht – es funktioniert irgendwie weiter, aber ein gutes Gefühl wird keiner mehr haben. ;-)

  • Am 11. März 2015 um 23:12 von Achtung

    Panda Virenscanner zerschießt Windows …

    http://www.heise.de/newsticker/meldung/Achtung-Panda-Virenscanner-zerschiesst-Windows-nicht-Neustarten-2573233.html

    Könnte hier auch für den einen oder anderen interessant sein!

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *