April-Patchday: Microsoft schließt 26 Lücken in Windows und Office

Microsoft hat an seinem Patch-Dienstag im April elf Sicherheitsupdates veröffentlicht, die insgesamt 26 Schwachstellen in Windows und Office beseitigen. Vier Aktualisierungen werden als kritisch eingestuft, da sie Remotecodeausführung ermöglichen. Die übrigen sieben Bulletins sind mit dem Schweregrad „hoch“ versehen. Sie erlauben laut Microsoft Rechteerweiterung, Offenlegung von Informationen, das Umgehen von Sicherheitsfunktionen und Denial of Service (DoS).

Das Update MS15-033 behebt allein fünf Schwachstellen, darunter eine Zero-Day-Lücke (CVE-2015-1641). Letztere wird in Word 2010 bereits in begrenztem Ausmaß aktiv ausgenutzt. Sie betrifft ebenfalls Word 2007 und 2012 sowie Word 2011 für Mac. Um die Lücke auszunutzen, müssen Angreifer den Nutzer allerdings dazu verleiten, eine manipulierte Datei zu öffnen, weshalb Microsoft den Patch nur als „wichtig“ und nicht als „kritisch“ einstuft.

Außer der Zero-Day-Lücke schließt das Update auch die beiden kritischen Sicherheitslücken CVE-2015-1649 und CVE-2015-1651. Bei ihnen handelt es sich um Schwachstellen zur Remotecodeausführung. Sie lassen sich schon dadurch ausnutzen, dass der Nutzer eine E-Mail lediglich im Outlook-Vorschaufenster betrachtet.

Das Bulletin MS15-034 beseitigt die kritische Lücke CVE-2015-1635 im HTTP-Stack von Windows 7 und 8 sowie Windows Server 2008 und 2012. Angreifer können sie für Remodecodeausführung nutzen, indem sie eine speziell gestaltete HTTP-Anforderung an ein betroffenes System senden.

Bei der ebenfalls als kritisch eingestuften Aktualisierung MS15-032 handelt es sich um ein kumulatives Update für Internet Explorer. Dieses schließt insgesamt zehn Lücken, von denen neun als kritisch gelten. Betroffen sind sämtliche Versionen des Microsoft-Browsers – von IE6 unter Windows Server 2003 bis zu IE11 in der neuesten Windows-Version 8.1. Öffnet der Nutzer eine manipulierte Website, kann ein Angreifer dessen Benutzerrechte erlangen und ebenfalls Schadcode aus der Ferne ausführen.

Das vierte und letzte kritische Update in diesem Monat ist MS15-035, das eine Sicherheitsloch in der Graphics-Komponente von Windows stopft. Hier muss ein Angreifer den Anwender dazu bringen, eine Enhanced-Metafile-Bilddatei (EMF) aufzurufen. Möglich ist dies durch den Besuch einer Website sowie das Öffnen einer manipulierten Datei oder eines Arbeitsverzeichnisses mit einem speziell gestalteten EMF-File. Die Schwachstelle ist jedoch auf ältere Windows-Versionen wie Windows 7, Vista, Server 2003 und 2008 beschränkt. Die neuesten Desktop-Versionen 8 und 8.1 sind nicht betroffen. Dasselbe gilt für Windows Server 2008 R2 und 2012.

Die restlichen Microsoft-Updates beheben weniger gravierende Sicherheitsprobleme in Windows, Sharepoint, .NET und Hyper-V. Neben den elf Patches stellt Microsoft wie üblich auch eine aktualisierte Version seines „Windows-Tool zum Entfernen bösartiger Software“ bereit. Das Programm erkennt und löscht eine Auswahl gängiger Malware, die sich im System eingenistet hat.

Anwender sollten vor allem das Office-Update schnellstmöglich installieren, falls sie nicht ohnehin die automatische Aktualisierung unter Windows nutzen. Die Patches können direkt über die jeweiligen Bulletins oder Microsoft Update beziehungsweise Windows Update bezogen werden.

[mit Material von Ed Bott, ZDNet.com]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.