2004609

Update-Dienstag soll neun Security Bulletins bringen

10.10.2014 | 09:14 Uhr |

Für seinem Patch Day im Oktober hat Microsoft neuen Security Bulletins angekündigt. Drei Bulletins sollen als kritisch eingestufte Sicherheitslücken in Windows, im IE und in .NET behandeln.

Am 14. Oktober ist wieder Patch Day bei Microsoft. Mit neun Security Bulletins und den zugehörigen Sicherheits-Updates will der Windows-Hersteller etliche Schwachstellen in seinen Produkten beseitigen. Drei Bulletins tragen die höchste Risikoeinstufung "kritisch" und sollen Lücken behandeln, über die ein Angreifer Code einschleusen und ausführen könnte. Für fünf Bulletins gibt Microsoft den maximalen Schweregrad mit "hoch" ( important ) an, eines trägt die Einstufung "mittel" ( moderate ).

Kritische Lücken stecken in allen unterstützten Windows-Versionen, von Vista bis Windows 8.1 sowie von Server 2003 bis Server 2012 R2. Für den Internet Explorer 6 bis 11 ist einmal mehr ein umfangreiches Update zu erwarten. In den letzten Monaten entfiel die Mehrzahl der beim Patch Day gestopften Lücken auf Microsofts Browser. Im September waren es 37 von 42 Schwachstellen, im August 26 von 37, im Juli 24 von 29 Lücken. Hinzu kommt mindestens eine kritische Lücke im .NET Framework.

Auch für seine Office-Pakete will Microsoft diesmal wieder Sicherheits-Updates bereit stellen. In zwei Bulletins, vorläufig als "Bulletin 4" und "Bulletin 6" bezeichnet, soll es um Office-Lücken gehen, die sich eignen, um Code einzuschleusen und auszuführen. In einem Fall betrifft dies Word 2007 und 2010 sowie Office für Mac 2011. Da der schädliche Code meist in präparierten Office-Dokumenten steckt, die ein Anwender mit einem anfälligen Programm öffnen muss, stuft Microsoft solche Office-Lücken nicht als kritisch ein.

Weitere Windows-Schwachstellen können ausgenutzt werden, um sich höhere Berechtigungen zu verschaffen. Im Entwicklerwerkzeug ASP.NET MVC (Model View Controller) 2.0 bis 5.1 will Microsoft Möglichkeiten beseitigen, um Sicherheitsmechanismen zu umgehen.

Die Security Bulletins werden am 14. Oktober gegen 19 Uhr MESZ veröffentlicht. Zusammen mit den Sicherheits-Updates wird Microsoft auch wie üblich das "Windows-Tool zum Entfernen bösartiger Software" in einer neuen Version verteilen.

Kennung

Schweregrad

Sicherheitsauswirkung

Neustart erforderlich?

betroffene Software

Bulletin 1

kritisch

Code einschleusen und ausführen

ja

Windows, Internet Explorer

Bulletin 2

kritisch

Code einschleusen und ausführen

unter Umständen

Windows, .NET Framework

Bulletin 3

kritisch

Code einschleusen und ausführen

ja

Windows

Bulletin 4

mittel

Erhöhung von Berechtigungen

unter Umständen

Windows, Office

Bulletin 5

hoch

Code einschleusen und ausführen

unter Umständen

Windows

Bulletin 6

hoch

Code einschleusen und ausführen

unter Umständen

Office, Office-Dienste, Office Web Apps

Bulletin 7

hoch

Erhöhung von Berechtigungen

ja

Windows

Bulletin 8

hoch

Erhöhung von Berechtigungen

ja

Windows

Bulletin 9

hoch

Umgehung von Schutzmechanismen

unter Umständen

ASP.NET

0 Kommentare zu diesem Artikel
2004609