Für seinen Patch-Day am 11. November hat Microsoft 16 Security Bulletins angekündigt. Fünf sollen als kritisch eingestufte Sicherheitslücken in Windows und im Internet Explorer behandeln.

So viele Security Bulletins wie für kommenden Dienstag angekündigt hat Microsoft schon lange nicht mehr an einem Update-Dienstag veröffentlich – genauer gesagt: seit
Juni 2011
. Am 11.11. will Microsoft die fünfte Jahreszeit mit immerhin 16 Security Bulletins einläuten. Fünf Bulletins sollen sich mit Schwachstellen in Windows sowie im Internet Explorer befassen, die Microsoft als kritisch einstuft. Für neun Bulletins gibt Microsoft die Risikoeinstufung "hoch" (
important
) an, zwei sollen Lücken mit mittlerem Risiko (
moderate
) behandeln.
Alle fünf Bulletins, die kritischen Lücken behandeln sollen, betreffen alle noch unterstützten Windows-Versionen für Desktop und Server. Vier der Bulletins betreffen auch Windows RT. Auch die
Windows 10 Technical Preview
sowie die Windows Server Technical Preview enthalten einige der zu stopfenden Lücken und werden aktualisiert. Für den Internet Explorer 6 bis 11 wird es wieder ein umfassendes Sicherheits-Update geben.
In Word 2007 sowie im kostenlosen Word Viewer will Microsoft ebenfalls mindestens eine Sicherheitslücke schließen, durch die ein Angreifer Code einschleusen und ausführen könnte. Hierzu ist die aktive Mithilfe eines Benutzers nötig, der eine speziell präparierte Office-Datei öffnen muss. Deshalb stuft Microsoft solche Schwachstellen nicht als kritisch ein, sondern lediglich als hohes Risiko.
Für Server-Admins sind zwei weitere Bulletins interessant, die vorläufig als "Bulletin 10" und "Bulletin 12" ausgewiesen sind. Ersteres betrifft die SharePoint Foundation 2010, Letzteres Exchange Server 2007, 2010 und 2013. In beiden Bulletins soll es um Lücken gehen, durch deren Ausnutzung ein Angreifer sich (oder seinem eingeschleusten Code) höhere Berechtigungen verschaffen kann.
Die
Security Bulletins
werden am 11. November gegen 19 Uhr MEZ veröffentlicht. Dabei will Microsoft neue Wege gehen, die laut Tracey Pretorius im
MSRC Blog
(Microsoft Security Response Center) über ebendiesen Blog führen sollen. Zusammen mit den Sicherheits-Updates wird Microsoft auch wie üblich das "Windows-Tool zum Entfernen bösartiger Software" in einer neuen Version verteilen.
Kennung |
Schweregrad |
Sicherheitsauswirkung |
Neustart erforderlich? |
betroffene Software |
---|---|---|---|---|
Bulletin 1 |
kritisch |
Code einschleusen und ausführen |
unter Umständen |
Windows |
Bulletin 2 |
kritisch |
Code einschleusen und ausführen |
ja |
Windows, Internet Explorer |
Bulletin 3 |
kritisch |
Code einschleusen und ausführen |
ja |
Windows |
Bulletin 4 |
kritisch |
Code einschleusen und ausführen |
unter Umständen |
Windows |
Bulletin 5 |
kritisch |
Code einschleusen und ausführen |
ja |
Windows |
Bulletin 6 |
kritisch |
Code einschleusen und ausführen |
unter Umständen |
|
Bulletin 7 |
hoch |
Erhöhung von Berechtigungen |
unter Umständen |
Windows |
Bulletin 8 |
hoch |
Erhöhung von Berechtigungen |
ja |
Windows |
Bulletin 9 |
hoch |
Erhöhung von Berechtigungen |
unter Umständen |
Windows, .NET Framework |
Bulletin 10 |
hoch |
Erhöhung von Berechtigungen |
unter Umständen |
Server Software |
Bulletin 11 |
hoch |
Umgehung von Schutzmechanismen |
ja |
Windows |
Bulletin 12 |
hoch |
Erhöhung von Berechtigungen |
unter Umständen |
Exchange |
Bulletin 13 |
hoch |
Umgehung von Schutzmechanismen |
unter Umständen |
Windows |
Bulletin 14 |
hoch |
Datenleck |
unter Umständen |
Windows |
Bulletin 15 |
mittel |
Erhöhung von Berechtigungen |
unter Umständen |
Windows, Office |
Bulletin 16 |
mittel |
Denial of Service (DoS) |
ja |
Windows |