2069494

Microsoft schließt kritische Lücken in Office und IE

15.04.2015 | 12:07 Uhr |

Beim Update-Dienstag im April hat Microsoft 11 Security Bulletins veröffentlicht, um 26 Schwachstellen in Windows, im Internet Explorer und in Office zu behandeln.

Beim Microsoft Patch Day am 14. April mischen neben Microsoft auch Adobe, Oracle und Google mit, die ebenfalls Sicherheits-Updates bereit gestellt haben. Microsoft hat 26 Sicherheitslücken in Windows, Office und im Internet Explorer geschlossen. Vier der 11 Security Bulletins behandeln als kritisch eingestufte Schwachstellen. Darunter ist auch eine Office-Lücke, die bereits für Angriffe genutzt wird.

Der größte Einzelposten ist wie so oft der Internet Explorer (IE). Im IE 6 bis 11 beseitigen Sammel-Updates zehn Sicherheitslücken, die Microsoft bis auf eine als kritisch einstuft. Neun Lücken betreffen den IE 11, drei sind in allen unterstützten IE-Versionen zu finden. Angreifer, die eine der kritischen Lücken ausnutzen, können eingeschleusten Code ausführen. Bislang sind jedoch laut Microsoft keine solchen Angriffe bekannt. Unter den beseitigten Schwachstellen ist auch mindestens eine, die beim Hacker-Wettbewerb Pwn2Own 2015 demonstriert worden ist.

Fünf Schwachstellen schließt Microsoft in seinen Office-Paketen. Betroffen sind Office 2007, 2010 und 2013, Office für Mac 2011 sowie der kostenlose Word Viewer. Eine Word-Lücke bei der Verarbeitung speziell präparierter RTF-Dateien (Rich Text Format) wird bereits für Angriffe ausgenutzt. Drei weitere Lücken können es einem Angreifer ebenfalls ermöglichen eingeschleusten Code auszuführen. Eine Schwachstelle in Outlook für Mac kann genutzt werden, um höhere Berechtigungen zu erlangen.

Das Bulletin MS15-034 behandelt eine Anfälligkeit im HTTP-Protokollstapel (http.sys) der Windows-Versionen 7, 8, Server 2008 R2 und Server 2012. Dies betrifft den enthaltenen Web-Server (IIS). Mit einer speziell gestalteten HTTP-Anforderung könnte ein Angreifer diese Schwachstelle nutzen, um beliebigen Code einzuschleusen und auszuführen. Auch die Windows Technical Preview (Windows 10) und Windows Server Technical Preview sind betroffen, Updates stehen bereit.

Bei der Verarbeitung von Bilddateien im EMF-Format (Enhanced Meta File) in Windows Vista und 7 sowie Server 2003, 2008 und Server 2008 R2 kann ebenfalls eingeschleuster Code ausgeführt werden. Der Fehler steckt in einer Microsoft Graphics-Komponente.

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

anfällige Software/Komponente(n)

Neustartnötig?

MS15-032

kritisch

1

RCE

Windows (alle); Internet Explorer 6 bis 11

ja

MS15-033

kritisch

0

RCE

MS Office (alle, auch Mac); Word, Word Viewer, Office Web Apps, Sharepoint, Outlook für Mac

u.U.

MS15-034

kritisch

1

RCE

Windows 7 und neuer, Server 2008 R2 und neuer; HTTP.sys

ja

MS15-035

kritisch

2

RCE

Windows Vista, 7, Server 2008, Server 2008 R2; Grafikkomponente, EMF-Bilddatei

u.U.

MS15-036

hoch

2

EoP

Sharepoint Server 2010, 2013;Site-übergreifende Skripterstellung

u.U.

MS15-037

hoch

1

EoP

Windows 7, Server 2008 R2; Aufgabenplanung

nein

MS15-038

hoch

2

EoP

Windows (alle); Identitätswechselebenen

ja

MS15-039

hoch

2

SFB

Windows Vista, 7, Server 2003. 2008, 2008 R2; XML Core Services

u.U.

MS15-040

hoch

3

ID

Windows Server 2012 R2; Active Directory-Verbunddienste 3.0

u.U.

MS15-041

hoch

2

ID

Windows (alle); .NET Framework

u.U.

MS15-042

hoch

2

DoS

Windows 8.1, Server 2012 R2; Hyper-V

ja

MS15-029

hoch

2

ID

Windows (alle); Photo Decoder, JPEG XR (.JXR)-Bilder

u.U.

MS15-030

hoch

3

DoS

Windows 7 und neuer, Server 2008 R2 und neuer; RDP

ja

MS15-031

hoch

1

SFB

Windows (alle); SChannel (FREAK TLS-Angriff)

ja

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
ID – Information Disclosure: Datenleck
SFB - Security Feature Bypass: Sicherheitsfunktion umgehen


Die Aufgabenplanung in Windows 7 und Server 2008 R2 kann eine ungültige Aufgabe enthalten. Ein angemeldeter Benutzer könnte den Fehler ausnutzen, um ein Programm mit Systemrechten zu starten. Das Update entfernt diese bekannte ungültige Aufgabe, sofern vorhanden.

Die Security Bulletins MS15-032, NS15-034 und MS15-042 (DoS-Lücke in Hyper-V) betreffen auch die Vorabversionen von Windows 10 (Windows Technical Preview und Windows Server Technical Preview). Entsprechende Updates, mit denen die Schwachstellen beseitigt werden, stellt Microsoft über Windows Update bereit. Außerdem hat Microsoft das Windows-Tool zum Entfernen bösartiger Software aktualisiert .

Zudem wurde die Sicherheitsmitteilung 3009008 überarbeitet. Aus Letzterer geht hervor, dass das neueste Sicherheits-Update für den IE die Nutzung von SSL 3.0 im IE 11 deaktiviert. Auch bei Microsofts Online-Diensten soll das als unsicher geltende SSL 3.0 (POODLE-Angriff) im Lauf der kommenden Monate abgeschaltet werden.

0 Kommentare zu diesem Artikel
2069494