Updates für Windows, IE, Lync und .NET
Patch-Day: Microsoft schließt kritische Sicherheitslücken im Internet Explorer
Bereits seit Oktober 2003 besteht der Microsoft Patch-Day als reguläre Einrichtung. An diesem Tag veröffentlicht der Softwarehersteller eine Auflistung entdeckter Sicherheitsrisiken inklusive der Lösungen. Der feste Monatszyklus der gemeldeten Schwachstellen ermöglicht den IT-Verantwortlichen ihre Systeme in einem festen Rhythmus auf den aktuellen Sicherheitsstand zu bringen. Der Bezeichnung Patch-Day hat sich für diesen Tag etabliert, offiziell heißt dieser nun "Update Tuesday".
Am aktuellen September-2014-Patch-Day veröffentlicht Microsoft vier Sicherheits-Bulletins. Von den vier Sicherheitsupdates sind eines als "kritisch" und drei als "wichtig" eingestuft. Erläuterungen zum Bewertungssystem der Updates finden Sie hier. Es sind alle unterstützten Windows-Versionen betroffen, als da wären: Windows Vista, Windows 7 ebenso wie Windows 8, 8.1 und RT. Beim den Server-Ausgaben gilt dies für: Windows Server 2003, Server 2008, Server 2008 R2 und natürlich Windows Server 2012 samt Windows Server 2012 R2.
Das kumulative Sicherheitsupdate für den Internet Explorer behebt insgesamt eine öffentliche und 36 vertraulich gemeldete Schwachstellen im Internet Explorer. Diese würden unter anderem eine Remote-Code-Ausführung erlauben, wenn Anwender eine speziell präparierte Website anzeigen lassen. Der Angreifer, der dies ausnutzt, kann dann die gleichen Benutzerrechte erlangen wie der aktuelle Benutzer.
Die drei als wichtig beziehungsweise hoch eingestuften Sicherheitsupdates betreffen unter anderem folgende Software: Windows und das .NET-Framework sowie den Microsoft Lync Server. Diese Sicherheitslücken bergen die Gefahr einer Rechteerhöhung (Elevation of Privilege) beziehungsweise eines Denial of Service.
Wie stets am Patch-Day stellt Microsoft auch das Anti-Malware-Tool in der neuen Version 5.16 den Anwendern zur Verfügung.
In der folgenden Bilderstrecke finden Sie alle Details zu den veröffentlichten Updates sowie die Links zu den Downloads und den detaillierten Angaben der Sicherheitsbedrohungen.
Um die Sicherheits-Updates zu installieren, sollten Sie die Windows-Update-Funktion nutzen. Damit wird gewährleistet, dass alle wichtigen Patches installiert werden. (mje)
- MS14-052 - Kumulatives Sicherheitsupdate für Internet Explorer
Dieses Sicherheitsupdate behebt eine öffentlich und sechsunddreißig vertraulich gemeldete Sicherheitsanfälligkeiten in Internet Explorer. Die schwerwiegenderen dieser Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite mit Internet Explorer anzeigt. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.<br> <b>Betroffene Software: </b> Microsoft Windows, Internet Explorer<br> <b>Bewertung / Eigenschaften: </b> Kritisch / Remote-Code-Ausführung - MS14-053 - Sicherheitsanfälligkeit in .NET Framework kann Erhöhung von Berechtigungen ermöglichen
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft .NET Framework. Die Sicherheitsanfälligkeit kann Denial-of-Service ermöglichen, wenn ein Angreifer eine kleine Anzahl speziell gestalteter Anfragen an eine .NET-fähige Website sendet. ASP.NET ist nicht standardmäßig installiert, wenn Microsoft .NET Framework unter einer beliebigen unterstützten Edition von Microsoft Windows installiert ist. Endbenutzer müssen ASP.NET manuell installieren und aktivieren, indem sie sich bei IIS registrieren, um von der Sicherheitsanfälligkeit betroffen zu sein.<br> <b>Betroffene Software: </b> Microsoft Windows, .NET-Framework<br> <b>Bewertung / Eigenschaften: </b> Hoch / DoS (Denial of Service) - MS14-054 - Sicherheitsanfälligkeit in Windows Taskplaner kann Erhöhung von Berechtigungen ermöglichen
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann eine Erhöhung von Berechtigungen ermöglichen, wenn sich ein Angreifer bei einem betroffenen System anmeldet und eine speziell gestaltete Anwendung ausführt. Ein Angreifer benötigt gültige Anmeldeinformationen und muss sich lokal anmelden können, um diese Sicherheitsanfälligkeit auszunutzen. Die Sicherheitsanfälligkeit kann nicht per Remotezugriff oder von anonymen Benutzern ausgenutzt werden.<br> <b>Betroffene Software: </b> Microsoft Windows<br> <b>Bewertung / Eigenschaften: </b> Hoch / Erhöhung von Berechtigungen - MS14-055 - Sicherheitsanfälligkeiten in Microsoft Lync Server können Denial-of-Service ermöglichen
Dieses Sicherheitsupdate behebt drei vertrauliche gemeldete Sicherheitsanfälligkeiten in Microsoft Lync Server. Die schwerwiegendste dieser Sicherheitsanfälligkeiten kann Denial-of-Service ermöglichen, wenn ein Angreifer eine speziell gestaltete Anforderung an einen Lync Server sendet.<br> <b>Betroffene Software: </b>Microsoft Lync Server<br> <b>Bewertung / Eigenschaften: </b> Hoch / DoS (Denial of Service) - Malicious Software Removal Tool
Das Anti-Malware-Tool steht in der Version 5.16 zum Download parat.