Microsoft schließt letztmalig Lücken in Windows 8 und älteren IE-Versionen

Microsoft hat an seinem Januar-Patchday neun Sicherheitsupdates veröffentlicht. Sechs davon schließen als kritisch eingestufte Lücken in Internet Explorer, Edge, Office und Windows. Der 12. Januar markierte zugleich das Support-Ende für Windows 8 und einige ältere Versionen des Internet Explorer. Für sie stehen letztmalig sicherheitsrelevante Aktualisierungen zur Verfügung.

Ein kumulatives Update für Internet Explorer 7, 8, 9, 10 und 11 beseitigt zwei kritische Anfälligkeiten, die das Einschleusen und Ausführen von Schadcode erlauben. Ebenfalls zwei Löcher stopft der kumulative Patch MS16-002 für den Windows-10-Browser Edge. Auch hier könnte das Anzeigen einer speziell gestalteten Website im Microsoft-Browser eine Remotecodeausführung ermöglichen.

Zwei Schwachstellen in den Windows-Kernelmodustreibern bewertet Microsoft ebenfalls als kritisch. Sie werden durch das Update MS16-005 beseitigt, das für Windows Vista, Server 2008, 7, Server 2008 R2, 8 und 8.1, Server 2012 und 2012 R2, RT und RT 8.1 sowie Windows 10 zur Verfügung steht. Das kumulative Update MS16-003 für JScript und VBScript richtet sich indes nur an Nutzer von Windows Vista und Server 2008. In beiden Fällen könnte ein Angreifer Code mit den Rechten des aktuellen Benutzers ausführen, wenn letzterer eine speziell gestaltete Website besucht.

Das Update MS16-004 soll Remotecodeausführung in Office 2007, 2010, 2013, 2013 RT und 2016 sowie den Office-Anwendungen Excel, PowerPoint, Visio und Word unterbinden. Davon sind auch Office für Mac 2011 und Office 2016 für Mac sowie das Office Compatibility Pack sowie Excel Viewer und Word Viewer betroffen. Unter anderem soll das Update einen Fehler beseitigen, der die Umgehung der Sicherheitsfunktion Adress Space Layout Randomization (ASLR) erlaubt. Den sechsten kritischen Januar-Patch sollten Nutzer von Silverlight 5 und der Silverlight 5 Developer Runtime schnellstmöglich installieren.

Die restlichen drei Aktualisierungen korrigieren Fehler, von denen laut Microsoft ein hohes Risiko ausgeht. Sie stecken in allen unterstützten Windows-Versionen bis einschließlich Windows 10 sowie in Exchange Server 2013 und 2016. Letztere sind ohne den Patch anfällig für Spoofing, da Outlook Web Access Webanforderungen nicht ordnungsgemäß bearbeitet und Benutzereingaben sowie E-Mail-Inhalte nicht ordnungsgemäß bereinigt.

Das Support-Ende für ältere IE-Versionen hatte Microsoft schon im August 2014 angekündigt. Ab sofort stellt das Unternehmen technischen Support und Sicherheitsupdates nur noch „für die jeweils aktuellste Version von Internet Explorer, die für ein unterstütztes Betriebssystem verfügbar ist, zur Verfügung“, heißt es in einem Support-Dokument. IE 9 unterstützt Microsoft demnach nur noch unter Windows Vista SP2 und Server 2008 SP2, IE 10 nur noch unter Windows Server 2012. Nutzer einer anderen, noch von Microsoft unterstützten OS-Version sollten nun unbedingt auf Internet Explorer 11 oder einen alternativen Browser umsteigen.

Bisher hatte Microsoft stets die IE-Version, die zusammen mit einer Betriebssystemversion auf den Markt gekommen ist, auch bis zum Lebensende des OS unterstützt. Als Folge musste das Unternehmen zwischenzeitlich sechs verschiedene Browser-Versionen pflegen: von IE 6 für Windows XP bis zu IE 11 für Windows 7 und Windows 8.1.

Im Fall von Windows 8 hatte Microsoft darauf hingewiesen, dass Nutzer spätestens zwei Jahre nach der Veröffentlichung von Windows 8.1 auf diese Version umsteigen müssen, um weiterhin Support zu erhalten. Alternativ können sie aber auch ein Upgrade auf Windows 10 durchführen, das aktuell noch kostenlos ist.

Des Weiteren endet heute der Mainstream Support für Windows 7. Nutzer des 2009 eingeführten Betriebssystems erhalten allerdings noch bis zum 14. Januar 2020 im Rahmen des Extended Support kostenlose Sicherheitsupdates.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.