Bereits seit Oktober 2003 besteht der Microsoft Patch-Day als reguläre Einrichtung. An diesem Tag veröffentlicht der Softwarehersteller eine Auflistung entdeckter Sicherheitsrisiken inklusive der Lösungen. Der feste Monatszyklus der gemeldeten Schwachstellen ermöglicht den IT-Verantwortlichen ihre Systeme in einem festen Rhythmus auf den aktuellen Sicherheitsstand zu bringen.
Am aktuellen Juni-2014-Patch-Day veröffentlicht Microsoft sieben Sicherheits-Bulletins. Insgesamt werden 66 Schwachstellen mit den Updates geschlossen. Von den sieben Sicherheitsupdates, sind zwei als "kritisch" und fünf als "wichtig" eingestuft. Es sind alle unterstützten Windows-Versionen betroffen, als da wären: Windows Vista, Windows 7 ebenso wie Windows 8, 8.1 und RT. Beim den Server-Ausgaben gilt dies für: Windows Server 2003, Server 2008, Server 2008 R2 und natürlich Windows Server 2012.
Geschlossen wird an diesem Patch-Day unter anderem eine etwas ältere Lücke im Internet Explorer. Dieses Problem ist bereits seit einigen Monaten bekannt, zumindest nach Angaben von Microsoft wird diese Lücke noch nicht aktiv von Angreifern ausgenutzt. Das kumulative Update für den Internet Explorer beschäftigt sich mit insgesamt 59 Schwachstellen des Browsers.
Das zweite kritische Update betrifft Microsoft Office beziehungsweise Lync. Betroffen sind sowohl Lync 2010 als auch Lync 2013 sowie die Live Meeting 2007 Console. Die übrigen wichtigen Updates schließen Lücken in Microsoft Office, dem Lync Server sowie Windows.
Die durch die Patches geschlossenen Lücken bergen bei Missbrauch die Risiken des Ausführens von beliebigem Code aus der Ferne (Remote Code Execution), Informationslecks (Information Disclosure) sowie Denial of Service.
Wie stets am Patch-Day stellt Microsoft auch das Anti-Malware-Tool in der neuen Version 5.13 den Anwendern zur Verfügung.
In der folgenden Bilderstrecke finden Sie alle Details zu den veröffentlichten Updates sowie die Links zu den Downloads und den detaillierten Angaben der Sicherheitsbedrohungen.
Um die Sicherheits-Updates zu installieren, sollten Sie die Windows-Update-Funktion nutzen. Damit wird gewährleistet, dass alle wichtigen Patches installiert werden. (mje)
Bildergalerie:
MS14-035 - Kumulatives Sicherheitsupdate für Internet Explorer
Dieses Sicherheitsupdate behebt zwei öffentlich und siebenundfünfzig vertraulich gemeldete Sicherheitsanfälligkeiten in Internet Explorer. Die schwerwiegenderen dieser Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite mit Internet Explorer anzeigt. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.<br> <b>Betroffene Software: </b> Microsoft Windows, Internet Explorer<br> <b>Bewertung / Eigenschaften: </b> Kritisch / Remote-Code-Ausführung
MS14-036 - Sicherheitsanfälligkeiten in Microsoft Graphics-Komponente können Remotecodeausführung ermöglichen
Dieses Sicherheitsupdate behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft Windows, Microsoft Office und Microsoft Lync. Die Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Datei oder Webseite öffnet. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.<br> <b>Betroffene Software: </b> Microsoft Windows, Microsoft Office, Microsoft Lync<br> <b>Bewertung / Eigenschaften: </b> Kritisch / Remote-Code-Ausführung
MS14-034 - Sicherheitsanfälligkeit in Microsoft Word kann Remotecodeausführung ermöglichen
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Office. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn eine speziell gestaltete Datei in einer betroffenen Version von Microsoft Word geöffnet wird. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.<br> <b>Betroffene Software: </b> Microsoft Office<br> <b>Bewertung / Eigenschaften: </b> Hoch / Remote-Code-Ausführung
MS14-033 - Sicherheitsanfälligkeit im Microsoft XML Core Services kann Offenlegung von Informationen ermöglichen
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann eine Offenlegung von Informationen ermöglichen, wenn ein angemeldeter Benutzer eine speziell gestaltete Website besucht, die dafür ausgelegt ist, Microsoft XML Core Services (MSXML) über Internet Explorer aufzurufen. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zu einem Besuch einer Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Anfrage auf einen Link zur Website des Angreifers zu klicken.<br> <b>Betroffene Software: </b> Microsoft Windows<br> <b>Bewertung / Eigenschaften: </b> Hoch / Offenlegung von Informationen
MS14-032 - Sicherheitsanfälligkeit in Microsoft Lync Server kann Offenlegung von Informationen ermöglichen
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Lync Server. Die Sicherheitsanfälligkeit kann eine Offenlegung von Informationen ermöglichen, wenn ein Benutzer versucht, einer Lync-Besprechung beizutreten, indem er auf eine speziell gestaltete Besprechungs-URL klickt.<br> <b>Betroffene Software: </b> Microsoft Lync Server<br> <b>Bewertung / Eigenschaften: </b> Hoch / Offenlegung von Informationen
MS14-031 - Sicherheitsanfälligkeit im TCP-Protokoll kann zu Denial-of-Service führen
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann Denial-of-Service ermöglichen, wenn ein Angreifer eine Sequenz speziell gestalteter Pakete an das Zielsystem sendet.<br> <b>Betroffene Software: </b> Microsoft Windows<br> <b>Bewertung / Eigenschaften: </b> Hoch / DoS, Denial of Service
MS14-030 - Sicherheitsanfälligkeit in Remotedesktop kann Manipulation ermöglichen
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann eine Manipulation ermöglichen, wenn ein Angreifer während einer aktiven RDP-Sitzung (Remotedesktopprotokoll) Zugang zu dem gleichen Netzwerksegment erhält wie das Zielsystem und dann speziell gestaltete RDP-Pakete an das Zielsystem sendet. Standardmäßig ist RDP auf keinem Windows-Betriebssystem aktiviert. Systeme, auf denen RDP nicht aktiviert ist, sind nicht gefährdet.<br> <b>Betroffene Software: </b> Microsoft Windows<br> <b>Bewertung / Eigenschaften: </b> Hoch / Unerlaubte Änderungen
Malicious Software Removal Tool
Das Anti-Malware-Tool steht in der Version 5.13 zum Download parat.