1661378

Microsoft startet mit sieben Bulletins ins neue Jahr

04.01.2013 | 13:41 Uhr |

Für seinen ersten Patch Day 2013 hat Microsoft sieben Security Bulletins angekündigt. Zwei der Bulletins sollen Lücken behandeln, die Microsoft als kritisch einstuft. Die kürzlich bekannt gewordene IE-Lücke ist offenbar nicht darunter.

Am 8. Januar ist schon wieder Update-Dienstag bei Microsoft und auch Adobe will mitmachen. Wie schon im Vormonat kündigt Microsoft sieben Security Bulletins an. In zwei Bulletins soll es um als kritisch eingestufte Schwachstellen gehen, die es einem Angreifer ermöglichen können Code einzuschleusen und auszuführen. Die übrigen fünf Bulletins sind mit der zweithöchsten Risikoeinstufung (hoch/important) versehen. Insgesamt sollen 12 Sicherheitslücken geschlossen werden.

Eines der als kritisch eingestuften Bulletins betrifft lediglich Windows 7 und Server 2008 R2, einschließlich Server Core-Installationen. Im zweiten kritischen Bulletin soll es hingegen um eine Lücke gehen, die in allen noch unterstützten Windows-Versionen steckt - von XP über Server 2012 bis Windows RT. Für Windows Server lautet die Risikoeinstufung allerdings nur "moderate" (mittleres Risiko). Neben Windows sind auch Office 2003/2007, Expression Web, Sharepoint Server 2007, Groove Server 2007 sowie System Center Operations Manager 2007 betroffen.

Letzterer weist noch eine weitere Schwachstelle auf, die genutzt werden kann, um sich zusätzliche Berechtigungen zu verschaffen. Drei Security Bulletins sollen sich mit derartigen Lücken beschäftigen, die in Windows sowie im .NET Framework stecken. Hinzu kommen Schwachstellen, die eine Umgehung eines Schutzmechanismus oder einen DoS-Angriff ermöglichen.

Der Internet Explorer (IE) wird in Microsofts Ankündigung nicht erwähnt. Somit wird die kürzlich bekannt gewordene Schwachstelle im IE 6 bis 8 wohl noch nicht beseitigt. Es gibt jedoch bereits ein Fix-it-Tool als Interimslösung, das den Angriffsvektor blockiert. Dieses wird jedoch nicht automatisch verteilt, es muss einmal manuell ausgeführt werden.

Außerdem hat Microsoft gestern die Sicherheitsempfehlung 2798897 veröffentlicht. Darin geht es um ein am 6. Dezember 2012 fälschlich ausgestelltes Server-Zertifikat der türkischen CA TURKTRUST, das laut Microsoft für Angriffe auf Google-Nutzer benutzt wird. Das Zertifikat gilt für Subdomains unterhalb *.google.com und kann benutzt werden, um Web-Inhalte zu verfälschen, Phishing-Angriffe oder Man-in-the-Middle-Attacken durchzuführen. Die Zertifikatvertrauensliste (CTL) in Windows (alle Versionen) wird automatisch aktualisiert, falls das Sicherheits-Update 2677070 aus dem Juni 2012 installiert ist.

Adobe hat für den 8. Januar ebenfalls Sicherheits-Updates angekündigt . Sie betreffen Adobe Reader und Acrobat.

0 Kommentare zu diesem Artikel
1661378