Microsoft schließt Sicherheitslücken in Internet Explorer, Windows und Word
Microsoft hat zum planmäßigen Dezember-Patchday sieben Sicherheits-Updates bereit gestellt. Insgesamt werden damit 17 als Sicherheitslücken in Windows, Internet Explorer und Microsoft Word geschlossen. Drei davon stuft Microsoft als kritisch ein, sie erlauben Angreifern Schadcode einzuschleusen und auszuführen.
Für Internet Explorer 6, 7, 8, 9, 10 und 11 steht ein kumulativer Patch bereit, der 14 Schwachstellen beseitigt. Dem Bulletin MS14-080 zufolge ermöglichen sie Remotecodeausführung, wenn ein Benutzer eine präparierte Website mit dem Internet Explorer aufruft. Microsoft korrigiert mehrere Speicherfehler und hat auch die Implementierung der Sicherheitsfunktion Adress Space Layout Randomization verbessert.
Zwei als kritisch eingestufte Schwachstellen in Microsoft Word sowie den Office Web Apps betreffen Word 2007, 2010, 2013, 2013 RT, Word Viewer, Office Compatibility Pack und auch Office für Mac 2011. Das Update steht aber auch für die Word-Automatisierungsdienste unter SharePoint Server 2010 und 2013 sowie die Office Web Apps 2010 und 2013 zur Verfügung.
Das Update MS14-084 beseitigt ebenfalls einen als kritisch eingestuften Fehler im Skriptmodul VBScript von Windows Server 2003, Vista, Server 2008, 7 und 2008 R2. Auch hier reicht der Aufruf einer speziell gestalten Website, damit ein Angreifer die vollständige Kontrolle über ein System erlangen kann.
Die weiteren Updates, die Microsoft im Rahmen seines Dezember-Patchdays veröffentlicht hat, stuft das Unternehmen als wichtig ein. Sie beheben Schwachstellen in Office 2007, 2010, 2013 und 2013 RT, Excel 2007, 2010, 2013 und 2013 RT sowie der Graphics-Komponente Windows Server 2003, Vista, Server 2008, 7, Server 2008 R2, 8 und 8.1, Server 2012 und 2012 R2 und RT und RT 8.1. Schließlich hat der Konzern ein bereits im November angekündigtes Update für Exchange Server 2007, 2010 und 2013 bereitgestellt, das die unautorisierte Ausweitung von Nutzerrechten verhindern soll.
Darüber hinaus hat Microsoft auch eine neue Version des Tools zum Entfernen bösartiger Software freigegeben, das jedoch keine zusätzlichen Malware-Familien erkennt. Nach Herstellerangaben soll es aber die Erkennung und Entfernung von Schadprogrammen verbessern. Darüber hinaus stehen 16 nicht sicherheitsrelevante Updates für verschiedene Windows-Versionen zum Download bereit.
Nichts unternommen hat Microsoft bisher gegen eine Zero-Day-Lücke im Internet Explorer, auf die HPs Zero Day Initiative kürzlich hingewiesen hat. Dass Microsoft nochdieses Jahr einen außerplanmäßigen Fix für die Lücke, die es seit Juni kennt, veröffentlicht, ist unwahrscheinlich. Anwender sollten daher die Installation des Enhanced Mitigation Experience Toolkit in Betracht ziehen. Anwender und Administratoren können damit für ausgewählte Programme zusätzliche Sicherheitstechnologien zur Schadensbegrenzung einsetzen. Dadurch lassen sich zahlreiche Angriffsmethoden blockieren, die von Schadsoftware und Exploits ausgenutzt werden.
Download:
[mit Material von Stefan Beiersmann ZDNet.de]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.