Microsoft hat wie angekündigt sieben Sicherheitsupdates veröffentlicht. Drei davon schließen 17 als kritisch eingestufte Lücken, die unter anderem das Einschleusen und Ausführen von Schadcode erlauben können. Sie stecken in Windows, Internet Explorer und der Textverarbeitung Word.
Für Internet Explorer 6, 7, 8, 9, 10 und 11 steht seit gestern Abend ein kumulativer Patch zur Verfügung, der 14 Anfälligkeiten beseitigt. Dem Bulletin MS14-080 zufolge können sie eine Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Website mit Internet Explorer anzeigt. Microsoft korrigiert mehrere Speicherfehler und hat auch die Implementierung der Sicherheitsfunktion Adress Space Layout Randomization verbessert.
Zwei als kritisch eingestufte Schwachstellen in Microsoft Word sowie den Office Web Apps betreffen Word 2007, 2010, 2013, 2013 RT, Word Viewer, Office Compatibility Pack und auch Office für Mac 2011. Das Update steht aber auch für die Word-Automatisierungsdienste unter SharePoint Server 2010 und 2013 sowie die Office Web Apps 2010 und 2013 zur Verfügung.
Das Update MS14-084 beseitigt einen ebenfalls als kritisch bewerteten Fehler im Skriptmodul VBScript von Windows Server 2003, Vista, Server 2008, 7 und 2008 R2. Auch hier kann der Besuch einer speziell gestalten Website dazu führen, dass ein Angreifer die vollständige Kontrolle über ein System erlangt.
Die weiteren Updates, die Microsoft im Rahmen seines Dezember-Patchdays veröffentlicht hat, stuft das Unternehmen als wichtig ein. Sie beseitigen Schwachstellen in Office 2007, 2010, 2013 und 2013 RT, Excel 2007, 2010, 2013 und 2013 RT sowie der Graphics-Komponente Windows Server 2003, Vista, Server 2008, 7, Server 2008 R2, 8 und 8.1, Server 2012 und 2012 R2 und RT und RT 8.1. Schließlich hat der Softwarekonzern ein bereits im November angekündigtes Update für Exchange Server 2007, 2010 und 2013 bereitgestellt, das eine unautorisierte Ausweitung von Nutzerrechten verhindern soll.
Praxis: Browser gegen Lücke in SSL 3.0 absichern
Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.
Darüber hinaus hat Microsoft auch eine neue Version des Tools zum Entfernen bösartiger Software freigegeben, das jedoch keine zusätzlichen Malware-Familien erkennt. Nach Herstellerangaben soll es aber die Erkennung und Entfernung von Schadprogrammen verbessern. Darüber hinaus stehen 16 nicht sicherheitsrelevante Updates für verschiedene Windows-Versionen zum Download bereit.
2014 hat Microsoft damit insgesamt 85 Sicherheitsupdates veröffentlicht. Im Vorjahr mussten Nutzer von Microsoft-Produkten bis zu 106 Sicherheitspatches installieren. 2012 waren es 83. Allerdings beendet Microsoft das Jahr wahrscheinlich mit einer Zero-Day-Lücke in Internet Explorer, auf die HPs Zero Day Initiative in der vergangenen Woche hingewiesen hatte. Dass Microsoft in den kommenden drei Wochen noch einen außerplanmäßigen Fix für die Lücke, die es seit Juni kennt, veröffentlicht, ist wohl eher unwahrscheinlich. Daher sollten Anwender die Installation des Anti-Hack-Tools Enhanced Mitigation Experience Toolkit in Betracht ziehen. Das Programm bietet erweiterte Schutzmechanismen gegen das Ausnutzen von Sicherheitslücken. Anwender oder Administratoren können damit für ausgewählte Programme zusätzliche Sicherheitstechnologien zur Schadensbegrenzung einsetzen, um diese nachträglich abzuhärten. Dadurch lassen sich zahlreiche Angriffsmethoden blockieren, die von Schadsoftware und Exploits ausgenutzt werden.
Download:
[mit Material von Larry Seltzer ZDNet.com]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
Noch keine Kommentare zu Microsoft stopft kritische Löcher in Windows, Internet Explorer und Word
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.