Beim letzten Update-Dienstag dieses Jahres hat Microsoft sieben Security Bulletins veröffentlicht. Drei Bulletins behandeln als kritisch eingestufte Sicherheitslücken in Windows, Internet Explorer und Office.
Beim Patch-Day am 9. Dezember hat Microsoft
sieben Security Bulletins
nebst Updates bereit gestellt, die insgesamt 24 Schwachstellen beseitigen. Als kritisch stuft Microsoft Lücken in Windows, im Internet Explorer sowie in Word ein. Drei Security Bulletins behandeln Schwachstellen in Microsoft Office. Das im November ausgelassene Bulletin liegt nun vor und widmet sich dem Exchange Server. Zwei der November-Bulletins hat Microsoft überarbeitet.
Der dickste Brocken ist wie so oft das kumulative Sicherheits-Update für den Internet Explorer (IE) 6 bis 11. Es schließt 14 teils als kritisch eingestufte Sicherheitslücken im Microsoft-Browser. Eine Schwachstelle, die durch die
Zero Day Initiative
(ZDI) der HP-Tochter Tipping Point bereits vor einem halben Jahr an Microsoft gemeldet wurde, bleibt jedoch weiterhin unbehandelt. Für den IE 9 bis 11 enthält das neue Update auch einen Patch gegen die VBScript-Lücke, die im Bulletin MS14-084 behandelt wird. Das kumulative IE-Update aus dem November hat Microsoft überarbeitet. Die Verbesserungen sind jedoch auch im Dezember-Update enthalten.
Ebenfalls als kritisch stuft Microsoft eine Schwachstelle im VBScript-Modul der Windows-Versionen Vista und 7 sowie Server 2003, 2008 und 2008 R2 ein (MS14-084). Ein Angreifer könnte darüber Code einschleusen und mit den Rechten des angemeldeten Benutzers ausführen. Dazu müsste er potenzielle Opfer auf eine speziell präparierte Web-Seite locken.
Gleich mehrere Bulletins beschäftigen sich mit Lücken in Microsoft Office. Zwei Schwachstellen in Word gelten als kritisch. Sie betreffen alle noch unterstützten Office-Versionen einschließlich Office 2011 für Mac. Zwei Excel-Lücken gelten hingegen nur als hohes Risiko und betreffen alle Versionen von Office für Windows. Hinzu kommt eine weitere Office-Schwachstelle in der Komponente MSCOMCTL. Alle Lücken können es Angreifern ermöglichen Code einzuschleusen und auszuführen.
Das Bulletin MS14-075 hatte Microsoft eigentlich bereits für den
Patch-Day im November
angekündigt, es jedoch erst am 9. Dezember veröffentlicht. Es behandelt vier Schwachstellen im Exchange Server 2007, 2010 und 2013. Drei davon betreffen Outlook Web App. Zwei Lücken erlauben Spoofing, die beiden andere ein Ausweitung der Berechtigungen.
Eine Schwachstelle in allen Windows-Versionen betrifft die Verarbeitung von JPEG-Inhalten, etwa Fotos. Diese Lücke allein kann lediglich genutzt werden, um Informationen über das System zu erlangen. Sie kann jedoch im Verbund mit weiteren Sicherheitslücken eingesetzt werden, um etwa Schutzfunktionen wie ASLR (Address Space Layout Randomization) zu umgehen.
Das Sicherheits-Update zum Bulletin MS14-066 vom 11. November (SChannel) hat Microsoft ebenfalls nachgebessert. Damit sollen Probleme unter Windows Vista und Server 2008 beseitigt werden. Nutzer dieser Windows-Versionen sollten das Update erneut installieren.
Außerdem verteilt Microsoft wieder sein
Windows-Tool zum Entfernen bösartiger Software
in einer neuen Version.
|
Bulletin |
Risikostufe |
Ausnutz-barkeit |
Effekt |
betroffene Software |
Neustart nötig? |
|---|---|---|---|---|---|
|
hoch |
2 |
EoP |
Exchange Server 2007, 2010, 2013; Outlook Web App |
u.U. * |
|
|
kritisch |
1 |
RCE |
Windows (alle); Internet Explorer 6 bis 11 |
ja |
|
|
kritisch |
1 |
RCE |
Office 2007, 2010, 2013, 2013 RT, 2011 für Mac; Word, Office Web Apps |
u.U. |
|
|
hoch |
1 |
RCE |
Office 2007, 2010, 2013, 2013 RT; MSCOMCTL |
u.U. |
|
|
hoch |
1 |
RCE |
Office 2007, 2010, 2013, 2013 RT; Excel |
u.U. |
|
|
kritisch |
2 |
RCE |
Windows Vista, 7, Server 2003, 2008, 2008 R2; VBScript |
u.U. |
|
|
hoch |
2 |
ID |
Windows (alle); Graphics-Komponente, JPEG-Bilder |
u.U. |
u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
ID – Information Disclosure: Datenleck