Jeden zweiten Dienstag im Monat ist es soweit: Microsoft veröffentlicht seine Sicherheits-Updates für Windows, dazugehörige Komponenten wie den Internet Explorer und das Büro-Paket Microsoft Office. Dieses Mal plagen 3 kritische Lücken unterschiedliche Microsoft-Produkte.
Microsoft hat im Rahmen seines jeden ersten Dienstag im Monat stattfindenden Patch Days 8 Sicherheits-Updates veröffentlicht, von denen drei kritische und fünf als hoch eingestufte Lücken schließen.
Kritische Lücken
Das erste Update behebt zehn vertraulich gemeldete Sicherheitsanfälligkeiten im Internet Explorer. Die schwerwiegendsten Sicherheitsanfälligkeiten können Remotecode-Ausführung ermögliche, wenn ein Benutzer eine speziell gestaltete Webseite im Internet Explorer anzeigt. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann die gleichen Benutzerrechte erlangen wie der aktuelle Benutzer und sich somit Zugang zum System verschaffen.
Das zweite als kritisch eingestufte Sicherheits-Update stopft ein Leck, das eine Remotecodeausführung ermöglicht, sobald ein Benutzer eine speziell gestaltete Windows Write-Datei in WordPad öffnet oder eine Vorschau anzeigt. Schließt der Nutzer diese Lücke nicht, kann sich der Angreifer ebenfalls die Benutzerrechte des Besitzers aneignen und so das System übernehmen.
Die dritte Sicherheitslücke behebt eine vertraulich gemeldete Sicherheitsanfälligkeit, die das ActiveX-Steuerelement „InformationCardSigninHelper Class“ plagt. Wenn ein Benutzer folglich eine speziell gestaltete Webseite im Explorer aufruft und das ActiveX-Steuerelement instanziiert wird, kann diese Sicherheitsanfälligkeit Remotecodeausführung ermöglichen.
Hohe Sicherheitsrisiken
Insgesamt hat Microsoft fünf Patches herausgebracht, die als hoch eingestufte Lecks schließen. Das erste dieser Sicherheits-Updates schließt drei vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft Office. Die Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn ein speziell gestaltetes WordPerfect-Dokument in einer betroffenen Version der Microsoft Office-Software geöffnet wird. Ein Angreifer, der die schwerwiegendsten Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann digleichen Benutzerrechte erlangen wie der aktuelle Benutzer.
Das zweite Update behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann Erhöhung von Berechtigungen ermöglichen, wenn ein Angreifer einen speziell gestalteten Funktionsparameter in einem Hypercall von einem vorhandenen, ausgeführten virtuellen Computer an den Hypervisor übergibt. Die Sicherheitsanfälligkeit kann auch Denial-of-Service beim Hyper-V-Host ermöglichen, wenn der Angreifer einen speziell gestalteten Funktionsparameter in einem Hypercall von einem vorhandenen, ausgeführten virtuellen Computer an den Hypervisor übergibt.
Der dritte Patch geht auf eine Sicherheitsanfälligkeit ein, die eine Offenlegung von Informationen ermöglicht, sobald ein Angreifer sich als lokaler Benutzer bei einem betroffenen System anmeldet und eine speziell gestaltete Anwendung auf dem System ausführt, die wiederum so entwickelt ist, dass der Angreifer Informationen von einem Konto mit hohen Berechtigungen erhalten kann.
Das vierte Update behebt eine öffentlich gemeldete Sicherheitsanfälligkeit in Microsoft Outlook. Die Sicherheitsanfälligkeit kann eine Offenlegung von Informationen ermöglichen, wenn ein Benutzer mit einer betroffenen Version von Microsoft Outlook eine Vorschau einer speziell gestalteten E-Mail-Nachricht anzeigt oder öffnet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Systeminformationen wie etwa die IP-Adresse vom Zielsystem und den anderen Systemen feststellen, die sich in demselben Netzwerk wie das Zielsystem befinden, und TCP-Ports öffnen.
Das fünfte und letzte Sicherheits-Update schließt eine Lücke, die Denial-of-Service ermöglicht, wenn ein betroffener Webdienst ein speziell gestaltetes X.509-Zertifikat bearbeitet.
Hinweis: Nutzer von Microsoft Windows und Office sollten schnellstmöglich die Patches über die Update-Funktion beziehen.
Für die Veröffentlichung des Bulletins, die am zweiten Dienstag jedes Monats stattfindet, hat Microsoft eine aktualisierte Version des Microsofts Windows-Tool zum Entfernen schädlicher Software für Windows Update, Microsoft Update, Windows Server Update Services und das Download-Center veröffentlicht. Für außerplanmäßige Veröffentlichungen des Security Bulletins ist keine aktualisierte Version des Microsoft Windows-Tool zum Entfernen schädlicher Software erhältlich.