Bereits seit Oktober 2003 besteht der Microsoft Patch-Day als reguläre Einrichtung. An diesem Tag veröffentlicht der Softwarehersteller eine Auflistung entdeckter Sicherheitsrisiken inklusive der Lösungen. Der feste Monatszyklus der gemeldeten Schwachstellen ermöglicht den IT-Verantwortlichen ihre Systeme in einem festen Rhythmus auf den aktuellen Sicherheitsstand zu bringen.
Am aktuellen Januar-2014-Patch-Day veröffentlicht Microsoft vier Sicherheits-Bulletins. Die Updates sind allesamt als "wichtig" eingestuft.
Geschlossen werden Sicherheitslücken in Windows, Microsoft Office sowie Microsoft Dynamics.
Es sind alle unterstützten Windows-Versionen betroffen, als da wären: Windows XP (SP3), Windows Vista, Windows 7 ebenso wie Windows 8, 8.1 und RT. Beim den Server-Ausgaben gilt dies für: Windows Server 2003, Server 2008, Server 2008 R2 und natürlich Windows Server 2012 und Server 2012 R2.
Nun wird auch die im November bekannt gewordene Sicherheitslücke in Windows XP und Server 2003 geschlossen. Diese konnte durch manipulierte PDF-Dokumente ausgenutzt werden.
Bei Microsoft Office ist die Textverarbeitung Word betroffen und zwar in den Versionen 2003, 2007, 2010, 2013 und 2013 RT. Die ERP-Lösung Dynamics ist diesmal mit von Partie, bislang treten die kaufmännischen Lösungen beim Patch-Day relativ selten in Erscheinung. Ein Update schließt eine Schwachstelle in Microsoft Dynamics AX 4.0, Dynamics AX 2009, Dynamics AX 2012 und Dynamics AX 2012 R2.
Die durch die Patches geschlossenen Lücken bergen bei Missbrauch die Risiken des Ausführens von beliebigem Code aus der Ferne (Remote Code Execution), Rechteerhöhung (Elevation of Privilege) und Denial of Service.
Wie stets am Patch-Day stellt Microsoft auch das Anti-Malware-Tool in der neuen Version 5.8 den Anwendern zur Verfügung.
In der folgenden Bilderstrecke finden Sie alle Details zu den veröffentlichten Updates sowie die Links zu den Downloads und den detaillierten Angaben der Sicherheitsbedrohungen.
Um die Sicherheits-Updates zu installieren, sollten Sie die Windows-Update-Funktion nutzen. Damit wird gewährleistet, dass alle wichtigen Patches installiert werden. (mje)
Bildergalerie:
MS14-001 - Sicherheitsanfälligkeiten in Microsoft Word und Office Web Apps können Remotecodeausführung ermöglichen
Dieses Sicherheitsupdate behebt drei vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft Office. Die Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn eine speziell gestaltete Datei in einer betroffenen Version von Microsoft Word oder anderer betroffener Microsoft Office-Software geöffnet wird. Ein Angreifer, der die Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann die gleichen Benutzerrechte erlangen wie der aktuelle Benutzer. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.<br> <b>Betroffene Software: </b> Microsoft Office, Microsoft Server Software<br> <b>Bewertung / Eigenschaften: </b> Hoch / Remote-Code-Ausführung
MS14-002 - Sicherheitsanfälligkeit im Windows-Kernel kann Erhöhung von Berechtigungen ermöglichen (2914368)
Dieses Sicherheitsupdate behebt eine öffentlich gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann eine Erhöhung von Berechtigungen ermöglichen, wenn ein Angreifer sich bei einem System anmeldet und eine speziell gestaltete Anwendung ausführt. Ein Angreifer benötigt gültige Anmeldeinformationen und muss sich lokal anmelden können, um diese Sicherheitsanfälligkeit auszunutzen.<br> <b>Betroffene Software: </b> Microsoft Windows<br> <b>Bewertung / Eigenschaften: </b> Hoch / Erhöhung von Berechtigungen
MS14-003 - Sicherheitsanfälligkeit in Windows-Kernelmodustreibern kann Erhöhung von Berechtigungen ermöglichen (2913602)
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann eine Erhöhung von Berechtigungen ermöglichen, wenn ein Benutzer sich bei dem System anmeldet und eine speziell gestaltete Anwendung ausführt. Ein Angreifer benötigt gültige Anmeldeinformationen und muss sich lokal anmelden können, um diese Sicherheitsanfälligkeit auszunutzen.<br> <b>Betroffene Software: </b> Microsoft Windows<br> <b>Bewertung / Eigenschaften: </b> Hoch / Erhöhung von Berechtigungen
MS14-004 - Sicherheitsanfälligkeit in Microsoft Dynamics AX kann Denial-of-Service ermöglichen (2880826)
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Dynamics AX. Die Sicherheitsanfälligkeit kann Denial-of-Service ermöglichen, wenn ein authentifizierter Angreifer speziell gestaltete Daten an eine betroffene Microsoft Dynamics AX-Anwendungsobjektserver-Instanz (AOS) sendet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann bewirken, dass die Ziel-AOS-Instanz nicht mehr auf Clientanforderungen reagiert.<br> <b>Betroffene Software: </b> Microsoft Dynamics AX<br> <b>Bewertung / Eigenschaften: </b> Hoch / Denial of Service
Malicious Software Removal Tool
Das Anti-Malware-Tool steht in der Version 5.8 zum Download parat.