2018733

Microsoft schließt 33 Sicherheitslücken

12.11.2014 | 12:43 Uhr |

Beim Update-Dienstag am 11. November hat Microsoft nur 14 der angekündigten 16 Security Bulletins veröffentlicht. Sie behandeln 33 Schwachstellen in Windows, im Internet Explorer, im .NET Framework sowie in Office und Sharepoint.

Microsofts Patch Day fällt in diesem Monat so umfangreich aus wie schon lange nicht mehr. Angekündigt waren eigentlich 16 Security Bulletins, veröffentlicht hat Microsoft allerdings erst 14. Die Bulletins MS14-068 und MS14-075 sollen zu einem nicht genannten späteren Termin veröffentlicht werden. Über die Gründe für diese Verzögerung macht Microsoft keine Angaben. Die bereit gestellten Sicherheits-Updates schließen insgesamt 33 Lücken, von denen Microsoft einen großen Teil als kritisch einstuft.

Bereits am Montag hatte Microsoft sein Sicherheits-Tool EMET (Enhanced Mitigation Experience Toolkit) in der neuen Version 5.1 bereit gestellt. Im Microsoft-Blog Security Research & Defense empfiehlt Microsoft nachdrücklich die Installation der neuen Version vor den Patch-Day-Updates. Namentlich das Update für den Internet Explorer 11 sollte erst nach der EMET-Aktualisierung installiert werden. EMET 5.1 beseitigt demnach Kompatibilitätsprobleme mit diesem IE-Update sowie mit Adobe Reader, Flash Player und Firefox.

Um das wohl wichtigste Update geht es im Security Bulletin MS14-064. Microsoft schließt mit diesem Update zwei OLE-Lücken in allen Windows-Versionen. Eine dieser Schwachstellen wird bereits seit Wochen für gezielte Angriffe ausgenutzt. Diese auch als "Sandworm-Lücke" bekannte Schwachstelle hatte Microsoft bereits beim Patch Day im Oktober zu stopfen versucht, allerdings nur einen Teilerfolg erzielt. Nachdem klar geworden war, dass sich die Lücke auch weiterhin ausnutzen lässt, hat Microsoft eine Woche nach dem Patch Day ein Fix-it-Tool bereit gestellt, um den Angriffsvektor zu blockieren.

Allein 17 Schwachstellen betreffen den Internet Explorer 6 bis 11 unter allen Windows-Versionen (MS14-065). Einige dieser Lücken sind als kritisch eingestuft, da sie es einem Angreifer ermöglichen können Code einzuschleusen und auszuführen (RCE – Remote Code Execution). Ein neues kumulatives Sicherheits-Update für den Internet Explorer beseitigt diese Lücken.

Auch die im Security Bulletin MS14-066 behandelte Sicherheitslücke hat es in sich. Sie betrifft den so genannten Secure Channel (auch Schannel genannt) in allen unterstützten Windows-Versionen. Laut Microsoft könnten Angreifer mit präparierten Datenpaketen Code in die Server-Ausgaben von Windows einschleusen. Die Desktop-Versionen seien über ein Web-Szenario angreifbar, also beim Besuch einer speziell präparierten Website.

Eine ebenfalls als kritisch eingestufte Lücke steckt in der XML-Unterstützung aller Windows-Versionen (MS14-067). Die Schwachstelle in den XML Core Services 3.0 kann ausgenutzt werden, um Code einzuschleusen und auszuführen. Dazu muss ein Benutzer eine speziell präparierte Web-Seite mit dem Internet Explorer besuchen.

Im Office-Bulletin MS14-069 geht es um drei Sicherheitslücken in Office 2007. Sie betreffen Word sowie den kostenlosen Word Viewer. Öffnet ein Anwender ein speziell präpariertes Office-Dokument, kann Code eingeschleust und ausgeführt werden. Da ein potenzielles Opfer dazu mehr tun muss als nur einen Link anzuklicken, stuft Microsoft derartige Schwachstellen nicht als kritisch ein.

Weitere Bulletins behandeln Schwachstellen in Windows, im .NET Framework sowie im Sharepoint Server 2010, die genutzt werden können, um sich höhere Berechtigungen zu verschaffen. Lücken im Remote Desktop Protokoll und im IIS (Internet Information Services) ermöglichen das Umgehen von Sicherheitsfunktionen und eine Schwachstelle in den Kernelmodustreibern aller Windows-Versionen erlaubt DoS-Angriffe mit Truetype-Fonts.

Eine Übersicht über die veröffentlichten Security Bulletins gibt die nachstehende Tabelle. Weitere Informationen finden Sie bei Microsoft . Neben den Sicherheits-Updates bietet Microsoft auch das Windows-Tool zum Entfernen bösartiger Software in einer neuen Version an.

Bulletin

Risikostufe

Ausnutzbarkeit

Effekt

betroffene Software

Neustart nötig?

MS14-064

kritisch

0

RCE

Windows (alle); OLE

u.U.

MS14-065

kritisch

1

RCE

Windows (alle); Internet Explorer 6 bis 11

ja

MS14-066

kritisch

1

RCE

Windows (alle); Secure Channel

ja

MS14-067

kritisch

2

RCE

Windows (alle); XML Core Services

u.U.

MS14-068

  wird später veröffentlicht

MS14-069

hoch

1

RCE

Office 2007; Word, Word Viewer

u.U.

MS14-070

hoch

2

EoP

Windows Server 2003; TCP/IP

u.U.

MS14-071

hoch

2

EoP

Windows (alle); Audio-Dienst

ja

MS14-072

hoch

2

EoP

Windows (alle); .NET Framework

u.U.

MS14-073

hoch

2

EoP

SharePoint Foundation 2010

u.U.

MS14-074

hoch

3

SFB

Windows (alle außer Server 2003); Remote Desktop Protocol

ja

MS14-075

  wird später veröffentlicht

MS14-076

hoch

3

SFB

Windows 8/8.1, Server 2012/2012 R2; Internet Information Services (IIS)

u.U.

MS14-077

hoch

3

ID

Windows Server (alle); Active Directory Federation Services

u.U.

MS14-078

mittel

0

EoP

Windows Vista/7, Server 2008/2008 R2; IME (Japanisch)

u.U.

MS14-079

mittel

3

DoS

Windows (alle); Kernelmodustreiber

ja

u.U. – unter Umständen

RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt

EoP – Elevation of Privilege: Ausweitung von Berechtigungen

SFB – Security Feature Bypass: Umgehung von Sicherheitsfunktionen

ID – Information Disclosure: Datenleck

DoS – Denial of Service: Blockieren einer Funktion, eines Dienstes, oft durch Absturz

0 Kommentare zu diesem Artikel
2018733