Microsoft schließt zwei Sicherheitslücken im Internet Explorer
Microsoft hat im Rahmen des turnusmäßigen Mai-Patchdays zwei Sicherheitsupdates veröffentlicht. Sie beseitigen insgesamt zwölf als kritisch eingestufte Anfälligkeiten in Internet Explorer. Der erste Patch (MS13-037) korrigiert elf Fehler in IE 6, 7, 8, 9 und 10, darunter eine während des Hackerwettbewerbs Pwn2Own aufgedeckte Schwachstelle. Mit dem Patch MS13-038 schließt Microsoft die kürzlich bekannt gewordene Lücke in IE8.
Das zweite IE-Update steht allerdings auch für die Version 9 des Microsoft-Browsers zur Verfügung. Sie blockiere in der Standardkonfiguration zwar die im fraglichen Bulletin beschriebenen Angriffsmethoden, das Sicherheitsupdate sei aber eine zusätzliche Verteidigungsmaßnahme, teilt Microsoft mit.
Insgesamt gab es zum Mai-Patchday zehn Bulletins, die 33 Schwachstellen beschreiben. Die restlichen acht Updates beheben Anfälligkeiten, von denen ein “hohes” Risiko ausgeht. Dazu zählt ein Fehler in der Datei “HTTP.sys”, der zu Denial-of-Service-Angriffen führen kann, eine Lücke in .NET Framework, die Spoofing erlaubt, und eine Anfälligkeit in den Kernelmodustreibern, die eine Erweiterung von Berechtigungen ermöglicht. Davon betroffen sind Nutzer von Windows XP, Server 2003, Vista, Server 2008, 7, Server 2008 R2, 8, Server 2012 und Windows RT.
Darüber hinaus stehen Updates für Lync Communicator 2007, Lync 2010, Lync Server 2013, Publisher 2003 bis 2010, Word 2003 und Word Viewer zur Verfügung. Sie sollen verhindern, dass Angreifer Schadcode in ein betroffenes System einschleusen und ausführen. Lücken in Visio 2003 und 2010 sowie Windows Essentials 2011 und 2012 (vormals Windows Live Essentials) könnten unter Umständen zur Offenlegung von Informationen führen.
Microsoft weist darauf hin, dass für Windows Essentials 2011 kein Update verteilt wird. Das Unternehmen rät Betroffenen, auf die Version 2012 umzusteigen. Der eigentliche Fehler steckt allerdings nur in der Anwendung Writer.
Auch Adobe patcht wieder
Neben Microsoft bietet auch Adobe seit gestern Abend mehrere Patches für seine Produkte an. Unter anderem werden 13 als “kritisch” eingestufte Sicherheitslücken in Flash Player 11.7.700.169 für Windows und Mac OS X, Flash Player 11.2.202.280 für Linux sowie Flash Player 11.1.115.5x für Android geschlossen. Angreifer könnten einen Absturz der Anwendung auslösen und möglicherweise die Kontrolle über ein System übernehmen.
Weitere 27 Anfälligkeiten bedrohen Nutzer von Adobe Reader und Acrobat XI (11.0.02) und X (10.1.6) für Windows und Mac OS X sowie Reader 9.5.4 für Linux. Sie lassen sich unter Umständen ebenfalls für eine Remotecodeausführung missbrauchen. In einem Blogeintrag macht das Unternehmen darauf aufmerksam, dass am 26. Juni der Support für Reader und Acrobat 9 ausläuft und es danach auch keine weiteren Sicherheitsupdates für diese Version gibt.
Es steht auch ein Fix für zwei Löcher in ColdFusion 10, 9.0.2, 9.0.1 und 9.0 für Windows Mac OS X und Unix zum Download bereit. Sie könnten es Unbefugten ermöglichen, aus der Ferne auf auf einem Server gespeicherte Dateien zuzugreifen. Eine der Lücken wird laut Adobe schon aktiv gegen Nutzer von ColdFusion eingesetzt.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de