Microsoft schließt im Mai 33 Sicherheitslücken

Nicht nur bei Adobe, sondern auch bei Microsoft ist der Mai-Patchday umfangreich ausgefallen: Die Redmonder Softwareschmiede hat am Dienstagabend zehn Patch-Pakete (Bulletins) herausgegeben, die insgesamt 33 Sicherheitslöcher abdichten sollen. Kritische Lücken beheben zwei der Bulletins, allesamt im Internet Explorer. Darüber hinaus gab es unter anderem Patches für sämtliche Windows-Versionen, Office und die Windows Essentials.

Besonderes Augenmerk liegt auf dem Bulletin MS13-038, das eine kritische Schwachstelle im Internet Explorer 8 behebt, die bereits für Cyber-Angriffe missbraucht wird. Die Lücke befindet sich um CGenericElement-Objekt. Es handelt sich um einen Use-After-Free-Fehler, also um einen ausnutzbaren Zugriff auf einen bereits freigegebenen Speicherbereich. Das andere Internet-Explorer-Bulletin betrifft sämtliche noch unterstützte Versionen des Browsers, also 6 bis 10. Das Sammelupdate behebt eine Reihe kritischer Lücken (ebenfalls Use-After-Free), die sich zum Einschleusen von Schadcode eignen.

Die übrigen Patch-Pakete stuft Microsoft als wichtig sein. MS13-046 behebt Rechteausweitungslücken im Kernel sämtlicher Windows-Versionen. MS13-039 betrifft hingegen nur Windows 8 und Server 2012: Der Kernel-Treiber HTTP.sys lässt sich durch speziell präparierete HTTP-Header aus dem Tritt bringen, wodurch Clients und Server von Angreifern dazu gebracht werden können, den Dienst einzustellen (Denial of Service).

Drei Bulletins sichern Komponenten von Microsoft Office ab; Patches gibt es für Publisher 2003 bis 2010, Word 2003 und Word Viewer sowie Visio 2003 bis 2010. Darüber hinaus wurde das .NET Framework 2.0 bis 4.5, die Konferenzsoftware Communitcator 2007 R2 und Lync 2010 bis 2013 abgesichert. Last but not least hat Microsoft anlässlich seines Mai-Patchdays auch noch Sicherheitsupdates für seine Tool-Pakete Windows Essentials 2011 und 2012 herausgegeben. (rei)