März-Patchday: Microsoft schließt kritische Lücken in Windows, Office und IE

Microsoft hat an seinem März-Patchday 14 Sicherheitsupdates veröffentlicht. Davon schließen 5 insgesamt 16 als kritisch eingestufte Lücken. Sie stecken in Internet Explorer, Windows, im Skriptmodul VBScript, im Adobe-Schriftartentreiber, in Office und SharePoint. Ein Angreifer könnte die Anfälligkeiten benutzen, um die vollständige Kontrolle über ein betroffenes System zu erhalten. Ein Opfer muss er dafür unter Umständen lediglich auf eine speziell präparierte Website locken.

Das kumulative Update für Internet Explorer 6, 7, 8, 9, 10 und 11 beseitigt unter anderem die Anfang Februar gemeldete Zero-Day-Lücke im Microsoft-Browser, die Phishing-Angriffe ermöglicht. Außerdem sind Windows Server 2003, Vista, Server 2008, 7, Server 2008 R2, 8 und 8.1, Server 2012 und 2012 R2 sowie RT und RT 8.1 anfällig. Der Office-Patch aktualisiert Office 2007, 2010, 2013 und 2013 RT, Word Viewer und Excel Viewer, das Office Compatibility Pack sowie SharePoint Server 2007, 2010, 2013, SharePoint Server 2010 Service und 2013 Service und die Office Web Apps.

Acht weitere Patches, die Microsoft als wichtig einstuft, stehen für Windows zur Verfügung. Darunter ist ein Fix für die Freak-Lücke, die es einem Angreifer unter Umständen erlaubt, verschlüsselten Datenverkehr abzufangen und zu entschlüsseln. Das Unternehmen aus Redmond hatte Ende vergangener Woche vor der Anfälligkeit gewarnt, die Apple inzwischen in iOS und auch OS X beseitigt hat.

Außerdem können mehrere Lecks in den Kernelmodustreibern laut Microsoft eine Erhöhung von Berechtigungen erlauben. Eine Sicherheitsanfälligkeit, die bei der Verarbeitung von PNG-Dateien auftritt, kann wiederum zur Offenlegung von Informationen führen. Außerdem soll es nach Installation der Updates nicht mehr möglich sein, die Funktion Netlogon für Spoofing oder den Taskplaner zur Umgehung von Sicherheitsfunktionen zu benutzen. Ein Patch soll zudem Denial-of-Service-Angriffe über das Remotedesktopprotokoll verhindern.

Schließlich hat Microsoft auch noch ein Loch in Exchange Server 2013 gestopft. Ein speziell gestalteter Link zu einer Outlook-Web-App-Website könnte eine Erhöhung von Benutzerrechten zur Folge haben. Ein Angreifer müsste einen Nutzer lediglich dazu bringen, auf seinen solchen Link zu klicken.

An Nutzer des Internet Explorer 11 verteilt Microsoft auch noch ein Update für den integrierten Flash Player. Adobe hat bisher allerdings noch keine Details zu den Änderungen oder gar beseitigten Anfälligkeiten genannt. Ein von Google gestern bereitgestelltes Update für seinen Browser Chrome, der ebenfalls ab Werk das Flash-Plug-in enthält, erhöht die Versionsnummer des Flash Player jedoch von 16.0.0.305 auf 17.0.0.134.

Darüber hinaus hat Microsoft auch zahlreiche nicht sicherheitsrelevante Updates veröffentlicht. Für Windows 8.1 stehen alleine 16 zusätzliche Korrekturen zur Verfügung, die nicht näher genannte Fehler beheben sollen.

[Update 13.40 Uhr]

Windows 10 Technical Preview Build 9926 hat zwar auch zahlreiche Sicherheitsupdates erhalten. Die Freak-Lücke besteht allerdings weiterhin, weil der dafür vorgesehene Patch KB3046049 (MS15-031) nicht für Windows 10 zur Verfügung steht.

Weitere Artikel zum Thema:

• Apple schließt Freak-Lücke in OS X
• Google schließt Freak-Lücke in Android WebView

[mit Material von Ed Bott, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.