Mai-Patchday: Microsoft schließt kritische Lücken in Windows und Office

Microsoft hat an seinem Patch-Dienstag im Mai 13 Sicherheitsupdates veröffentlicht, die insgesamt 48 Schwachstellen in Windows, Office, Internet Explorer, SharePoint Server, .NET Framework, Silverlight und Lync beheben. Drei Aktualisierungen werden als kritisch eingestuft, da sie Remotecodeausführung ermöglichen. Die übrigen zehn Bulletins sind mit dem Schweregrad „hoch“ versehen. Sie erlauben laut Microsoft Rechteerweiterung, Offenlegung von Informationen, das Umgehen von Sicherheitsfunktionen und Denial of Service (DoS).

Der erste wichtige Patch MS15-043 beseitigt als kumulatives Sicherheitsupdate für Internet Explorer gleich 22 Schwachstellen, darunter 14 kritische Speicherfehler-Lücken. Betroffen sind sämtliche Versionen des Microsoft-Browsers – von IE6 unter Windows Server 2003 bis zu IE11 in der neuesten Windows-Version 8.1. Öffnet der Nutzer eine manipulierte Website, kann ein Angreifer dessen Benutzerrechte erlangen und Schadcode aus der Ferne ausführen.

Das zweite kritische Update MS15-044 behebt Anfälligkeiten im Microsoft-Schriftartentreiber, die sich unter Windows, .NET Framework, Office, Lync und Silverlight ausnutzen lassen. Auch hier ist Remotecodeausführung möglich, wenn der Anwender eine manipulierte Datei oder Website öffnet, in die TrueType-Schriftartdateien eingebettet sind.

Das dritte kritische Bulletin MS15-045 korrigiert einen Fehler im Programm Windows Journal, das standardmäßig bei allen Windows-Client-Versionen vorinstalliert ist. Windows-Server-Umgebungen sind nur betroffen, wenn Windows Journal durch Aktivieren der Desktop-Experience-Funktionen installiert wurde. Um die Lücke zur Remotecodeausführung auszunutzen, müssen Angreifer den Nutzer dazu verleiten, eine manipulierte Journaldatei zu öffnen. Laut Microsoft sind Benutzer mit Konten, die über weniger Systemrechte verfügen, davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten.

Die restlichen Updates beheben weniger gravierende Sicherheitsprobleme. Neben den 13 Patches stellt Microsoft wie üblich auch eine aktualisierte Version seines „Windows-Tool zum Entfernen bösartiger Software“ bereit. Das Programm erkennt und löscht eine Auswahl gängiger Malware, die sich im System eingenistet hat.

Anwender sollten vor allem die kritischen Updates schnellstmöglich installieren, falls sie nicht ohnehin die automatische Aktualisierung unter Windows nutzen. Die Patches können direkt über die jeweiligen Bulletins oder Microsoft Update beziehungsweise Windows Update bezogen werden.

Mit dem Start von Windows 10 könnte Microsoft auf die üblichen Patchdays verzichten. Denn mit dem kommenden, plattformübergreifenden Betriebssystem verfolgt es auch eine neue Update-Strategie, die es vergangene Woche auf der Konferenz Ignite in Chicago vorgestellt hat.

[mit Material von Ed Bott, ZDNet.com]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.