1954951

Sieben Security Bulletins für Windows und Office

06.06.2014 | 08:38 Uhr |

Microsoft hat für den Patch Day am 10. Juni zwei als kritisch eingestufte Bulletins angekündigt sowie fünf, für die der Windows-Hersteller die zweithöchste Einstufung ausweist. Betroffen sind Windows, Internet Explorer, Office und Lync.

Am Dienstag nach Pfingsten ist wieder Patch Day bei Microsoft. Zwei der sieben angekündigten Security Bulletins sollen kritische Schwachstellen in Windows, im Internet Explorer (IE) sowie in Office und Lync behandeln. Die Lücken im Internet Explorer betreffen alle noch unterstützten Windows-Versionen, von Server 2003 über Windows 8.x bis RT.

Das IE-Update gilt insbesondere einer seit 21. Mai als "CVE-2014-1770" bekannten Sicherheitslücke im IE 8 , die Microsoft bereits seit mehr als einem halben Jahr kennt. Die Zero Day Initiative (ZDI) der HP-Tochter TippingPoint hatte die Schwachstelle im Oktober 2013 an Microsoft gemeldet. Gemäß seiner auch Microsoft wohlbekannten Verfahrensweise hat ZDI die Lücke nach 180 Tagen öffentlich bekannt gemacht. Es handelt sich um eine "Use-after-free"-Lücke, die ausgenutzt werden kann, um beliebigen Code einzuschleusen und auszuführen. Dazu müssen potenzielle Opfer auf eine speziell präparierte Web-Seite gelockt werden.

Das zweite als kritisch eingestufte Bulletin betrifft alle Windows-Versionen, Microsoft Office 2007 und 2010, Live Meeting 2007 Konsole sowie Lync 2010 und 2013. Die Einstufung "kritisch" gilt für Windows, Live Meeting und Lync – für Office gibt Microsoft die Risikoeinstufung "hoch" an. Bei erfolgreicher Ausnutzung der Schwachstelle kann Code eingeschleust und ausgeführt werden.

Ein weiteres Office-Bulletin (vorläufig als "Bulletin 3" bezeichnet) gilt einer oder mehreren Lücken in Word 2007. Öffnet ein Benutzer eine speziell präparierte Word-Datei, kann eingeschleuster Code zur Ausführung gelangen. Da ein Benutzer aktiv zum Gelingen beitragen muss, stuft Microsoft solche Schwachstellen nur als hohes Risiko ein, nicht jedoch als kritisch.

Lync Server 2010 und 2013 sind Gegenstand eines Security Bulletins, das ein Datenleck in dieser Software behandeln soll. Drei weitere Bulletins sollen sich mit Schwachstellen in Windows befassen. In einem Fall geht es um ein Datenleck in allen Windows-Versionen. Die beiden anderen Bulletins betreffen tendenziell eher neuere Windows-Ausgaben.

Die Security Bulletins werden am 10. Juni gegen 19 Uhr MESZ veröffentlicht. Außerdem wird Microsoft seine monatliche Wurmkur, das "Windows-Tool zum Entfernen bösartiger Software", in einer neuen Version verteilen. Am gleichen Tag dürfte Adobe den Flash Player 14 veröffentlichen.

0 Kommentare zu diesem Artikel
1954951