Microsoft und Adobe schließen fast 40 Lücken

Wichtige Updates gibt es unter anderem für die folgenden Produkte: Windows, Adobe Flash, Reader und Acrobat. Gegen die kritische Internet-Explorer-Lücke ist allerdings nach wie vor kein Kraut gewachsen.

In Pocket speichern vorlesen Druckansicht 95 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Ronald Eikenberg

Microsoft und Adobe haben am heuten Dienstag ihren monatlichen Patchday abgehalten. Von Microsoft gab es sieben Patch-Pakete, die zwölf Sicherheitslücken schließen – darunter kritische in den meisten Windows-Versionen. Aber auch die Adobe-Patches haben es in sich: sie behandeln Schwachstellen in Flash, Reader und Acrobat mit insgesamt 27 CVE-Nummern.

Unter den Patch-Paketen von Microsoft befinden sich zwei, die das Unternehmen für "kritisch" hält: Das erste schließt eine Lücke in der Druckerwarteschlage von Windows 7 und Server 2008 R2. Gelingt es einem Angreifer, einen speziell präparierten Druckauftrag abzusetzen, kann er beliebigen Code auf dem Rechner ausführen. Das kann auch übers Netz und ohne Anmeldung erfolgen.

Das zweite Patch-Paket widmet sich erneut den XML Core Services und betrifft neben sämtlichen Windows-Versionen auch Office 2003 und 2007, den Word Viewer, das Office Compatibility, Expression Web und Expression Web 2, den SharePoint Server 2007 sowie den Groove Server 2007. Es behebt zwei kritische Fehler bei der Verarbeitung von XML-Daten, die sich ebenfalls zum Einschleusen von Code eignen. Um die Lücke ausznutzen, muss der Angreifer sein Opfer lediglich auf eine präparierte Webseite locken.

Die übrigens fünf Pakete hält Microsoft noch für wichtig. Drei davon schließen Lücken, durch die ein Angreifer an höhere Rechte gelangen kann, als ihm eigentlich zustehen. Das kann beim System Center Operations Manager 2007 durch Cross-Site-Sripting im Webinterface, beim .NET Framework etwa durch Pufferüberläufe und bei Windows ab Vista durch eine Fehler im Kernel, der bei der Verarbeitung von Windows-Broadcastnachrichten auftritt. Außerdem hat Microsoft in Vista und aufwärts einen Fehler im SSLv3-Protokoll beseitigt, der eine "Umgehung der Sicherheitsfunktion" erlaubt. Da diese Lücke – wie alle anderen auch – vertraulich an Microsoft gemeldet wurde, sind hierzu bislang keine Details bekannt. Last but not least hat das Unternehmen eine Denial-of-Service-Schwachstelle im .NET Framework behoben.

Für die seit Ende vergangenen Jahres bekannte kritische Internet-Explorer-Lücke (Version 6 bis 8) gibt es weiterhin nur das provisorische Fix-It-Tool, das ein Sicherheitsforscher allerdings nach eigenen Angaben bereits umgangen hat. Wann diese Lücke richtig geschlossen wird, darüber kann man derzeit nur spekulieren.

Adobe hat indes ein großes Sicherheitsupdate für Adobe Reader und Acrobat herausgegeben. Die Palette der geschlossenen Lücken reicht von Pufferüberläufen auf dem Stack und Heap, die sich zum Einschleusen von Schadcode eignen bis hin zu Rechteausweitungslücken. Kurzum: Wer den Adobe Reader oder Acrobat einsetzt, sollte besser umgehend das passende Update installieren.

Betroffen sind die Versionszweige 9, X und XI unter allen unterstützten Betriebssystemen. Die aktuellen Versionen lauten: 11.0.1 (XI) 10.1.5 (X) und 9.5.3. Auch Flash und AIR müssen aufgrund eines kritischen Sicherheitsproblems aktualisiert werden. Die aktuellen Versionsnummern für die zahlreichen unterstützten Betriebssysteme findet man in Adobes Advisory. Google Chrome und der Internet Explorer 10 unter Windows 8 werden automatisch mit der abgesicherten Version versorgt. (rei)