1992558

Microsoft stopft Zero-Day-Lücke im IE

10.09.2014 | 08:45 Uhr |

Beim Patch Day im September hat Microsoft vier Security Bulletins veröffentlicht, die 42 Sicherheitslücken behandeln. Der Löwenanteil der Schwachstellen entfällt einmal mehr auf den Internet Explorer.

Mit lediglich vier Security Bulletins fällt Microsofts Patch Day im September relativ übersichtlich aus. Allein 37 der insgesamt 42 beseitigten Sicherheitslücken entfallen auf den Internet Explorer (IE). Die Mehrzahl der IE-Lücken stuft Microsoft als kritisch ein, da sie es einem Angreifer ermöglichen können beliebigen Code einzuschleusen und mit den Rechten des Benutzers auszuführen.

Das Security Bulletin MS14-052 , das die 37 IE-Lücken behandelt, ist das einzige Bulletin in diesem Monat, das die Risikoeinstufung "kritisch" trägt. Mehr noch: wie schon bei der Zero-Day-Lücke im August gibt Microsoft für die Ausnutzbarkeit den im Vormonat neu eingeführten Wert "0" an. Der besagt, dass mindestens eine der Schwachstellen bereits aktiv ausgenutzt wird.

Dabei handelt es sich um die als "CVE-2013-7331" bezeichnete IE-Lücke, die laut Microsoft bereits für gezielte Angriffe im Web genutzt wird. Durch Offenlegung von Ressourceninformationen ermöglicht diese Schwachstelle einem Angreifer festzustellen, welche Antivirus-Software auf dem Rechner installiert ist. Diese Informationen könnte er nutzen, um eine Entdeckung zu vermeiden. Durch Ausnutzen einer weiteren Lücke könnte er dann unerkannt Malware einschleusen.

Die verbleibenden fünf Sicherheitslücken verteilen sich auf drei Security Bulletins mit der zweithöchsten Risikoeinstufung "hoch":

MS14-053
Eine Schwachstelle im .NET Framework kann für DoS-Angriffe (Denial of Service) genutzt werden. Voraussetzung ist allerdings, dass auf dem Rechner der Web-Server IIS läuft und ASP.NET installiert und aktiviert ist. Dies dürfte bei den meisten Desktop-Rechnern nicht der Fall sein.

MS14-054
Das Programm für die Aufgabenplanung (Taskplaner) in Windows 8, 8.1, RT, RT 8.1 sowie Server 2012 und Server 2012 R2 enthält eine Sicherheitslücke, durch deren Ausnutzung sich ein lokal angemeldeter Benutzer höhere Berechtigungen verschaffen kann. Dazu muss er ein speziell gestaltetes Programm ausführen.
MS14-055
Insgesamt drei Schwachstellen stecken im Lync Server, Versionen 2010 und 2013. Sie können entweder für DoS-Angriffe genutzt werden oder um sich höhere Rechte zu verschaffen. Die Updates, die diese Lücken schließen, sind auf mehrere Update-Pakete verteilt – alle angebotenen Updates sollten installiert werden.

Weitere Informationen zu den beseitigten Schwachstellen sowie zu den verfügbaren Updates finden Sie über die Microsoft-Seite " Security Bulletin Summary ". Neben den Sicherheits-Updates verteilt Microsoft auch in diesem Monat das " Windows-Tool zum Entfernen bösartiger Software " in einer neuen Version. Außerdem hat Microsoft die Sicherheitsempfehlung 2755801 aktualisiert, da es für den im IE 10 und 11 für Windows 8.x integrierten Flash Player ein Sicherheits-Update gibt.

Die neuesten Updates sollten Sie umgehend mit der in Windows integrierten Update-Funktion installieren. So stellen Sie sicher, dass Sie alle relevanten Updates erhalten. Wichtig: Nach dem ersten Teil der Installation der Sicherheits-Updates sollten Sie den Rechner neu starten, damit die Sicherheits-Updates vollständig installiert werden können.

0 Kommentare zu diesem Artikel
1992558