Bereits seit Oktober 2003 besteht der Microsoft Patch-Day als reguläre Einrichtung. An diesem Tag veröffentlicht der Softwarehersteller eine Auflistung entdeckter Sicherheitsrisiken inklusive der Lösungen. Der feste Monatszyklus der gemeldeten Schwachstellen ermöglicht den IT-Verantwortlichen ihre Systeme in einem festen Rhythmus auf den aktuellen Sicherheitsstand zu bringen.
Am aktuellen Februar-2014-Patch-Day veröffentlicht Microsoft sieben Sicherheits-Bulletins. Vier der Updates sind als "kritisch" und drei als "wichtig" eingestuft.
Geschlossen werden Sicherheitslücken in Windows, Internet Explorer, .NET Framework sowie Forefront.
Es sind alle unterstützten Windows-Versionen betroffen, als da wären: Windows XP (SP3), Windows Vista, Windows 7 ebenso wie Windows 8, 8.1 und RT. Beim den Server-Ausgaben gilt dies für: Windows Server 2003, Server 2008, Server 2008 R2 und natürlich Windows Server 2012 und Server 2012 R2.
Die durch die Patches geschlossenen Lücken bergen bei Missbrauch die Risiken des Ausführens von beliebigem Code aus der Ferne (Remote Code Execution), Rechteerhöhung (Elevation of Privilege) und Denial of Service.
Wie stets am Patch-Day stellt Microsoft auch das Anti-Malware-Tool in der neuen Version 5.9 den Anwendern zur Verfügung.
In der folgenden Bilderstrecke finden Sie alle Details zu den veröffentlichten Updates sowie die Links zu den Downloads und den detaillierten Angaben der Sicherheitsbedrohungen.
Um die Sicherheits-Updates zu installieren, sollten Sie die Windows-Update-Funktion nutzen. Damit wird gewährleistet, dass alle wichtigen Patches installiert werden. (hal)
Bildergalerie:
MS14-011 - Sicherheitsanfälligkeit im Skriptmodul VBScript kann Remotecodeausführung ermöglichen.
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit im Skriptmodul VBScript in Microsoft Windows. Wenn ein Benutzer eine speziell gestaltete Website besucht, kann diese Sicherheitsanfälligkeit Remotecodeausführung ermöglichen. Ein Angreifer kann Benutzer nicht zum Besuch einer bestimmten Website zwingen. Er muss den Benutzer dazu verleiten, aktiv zu werden. Zu diesem Zweck wird der Benutzer meist dazu gebracht, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.<br> <b>Betroffene Software: </b> Microsoft Windows<br> <b>Bewertung / Eigenschaften: </b> Kritisch / Remote-Code-Ausführung
MS14-007 - Sicherheitsanfälligkeit in Direct2D kann Remotecodeausführung ermöglichen.
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Wenn ein Benutzer eine speziell gestaltete Webseite mit Internet Explorer anzeigt, kann diese Sicherheitsanfälligkeit Remotecodeausführung ermöglichen. Ein Angreifer kann Benutzer jedoch nicht zwingen, die speziell gestalteten Inhalte anzuzeigen. Stattdessen muss ein Angreifer Benutzer zu Handlungen verleiten. Zu diesem Zweck werden Benutzer normalerweise dazu gebracht, auf einen Link in einer E-Mail-Nachricht oder einer Instant Messenger-Nachricht zu klicken, wodurch die Benutzer zur Website eines Angreifers gelangen, oder eine Dateianlage zu öffnen, die per E-Mail gesendet wurde.<br> <b>Betroffene Software: </b> Microsoft Windows<br> <b>Bewertung / Eigenschaften: </b> Kritisch / Remote-Code-Ausführung
MS14-008 - Sicherheitsanfälligkeit in Microsoft Forefront Protection für Exchange kann Remotecodeausführung ermöglichen.
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Forefront. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn eine speziell gestaltete E-Mail gescannt wird.<br> <b>Betroffene Software: </b> Microsoft Sicherheitssoftware<br> <b>Bewertung / Eigenschaften: </b> Kritisch / Remote-Code-Ausführung
MS14-009 - Sicherheitsanfälligkeiten in .NET Framework können Erhöhung von Berechtigungen ermöglichen.
Dieses Sicherheitsupdate behebt zwei öffentlich gemeldete Sicherheitsanfälligkeiten und eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft .NET Framework. Die schwerwiegendste Sicherheitsanfälligkeit kann eine Erhöhung von Berechtigungen ermöglichen, wenn ein Benutzer eine speziell gestaltete Website oder eine Website mit speziell gestalteten Webinhalten besucht. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Er muss den Benutzer zum Besuch der schädlichen Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.<br> <b>Betroffene Software: </b> Microsoft Windows, Microsoft .NET Framework<br> <b>Bewertung / Eigenschaften: </b> Hoch / Erhöhung von Berechtigungen
MS14-006 - Sicherheitsanfälligkeit in IPv6 kann zu einem Denial-of-Service-Angriff führen.
Dieses Sicherheitsupdate behebt eine öffentlich gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann Denial-of-Service ermöglichen, wenn ein Angreifer eine große Anzahl speziell gestalteter IPv6-Pakete an ein betroffenes System sendet. Um diese Sicherheitsanfälligkeit auszunutzen, muss das System eines Angreifers zu demselben Subnetz gehören wie das Zielsystem.<br> <b>Betroffene Software: </b> Microsoft Windows<br> <b>Bewertung / Eigenschaften: </b> Hoch / DoS (Denial of Service)
Malicious Software Removal Tool
Das Anti-Malware-Tool steht in der Version 5.9 zum Download parat.