Letzter Patchday für XP und Office 2003
Microsoft hat an seinem April-Patchday vier Sicherheitsmeldungen veröffentlicht. Die enthaltenen Patches schließen zwei kritische und zwei wichtige Lücken. Betroffen sind Windows, Office und der Internet Explorer.
- Fabian A. Scherschel
Wie angekündigt hat Microsoft am heutigen Patchday vier Sicherheitsupdate-Pakete für Windows, Office und den Internet Explorer herausgeben. Ein Update für den Internet Explorer und ein weiteres für Microsoft Office sind als "kritisch" eingestuft. Ein weiterer Office-Patch und ein Update für Windows werden als "wichtig" eingeschätzt. Der heutige Patchday ist das letzte Mal, dass Microsoft Sicherheitsupdates für Windows XP und für Office 2003 veröffentlichen will – somit endet die Unterstützung für diese Versionen offiziell.
Unter anderem schließen die Updates die kritische RTF-Lücke (CVE-2014-1761 in MS14-017) in allen unterstützten Versionen von Microsoft Word. Diese wird für Angriffe ausgenutzt, bei denen Opfern per E-Mail RTF-Inhalte unter geschoben werden. Wenn Outlook konfiguriert ist, um Word als E-Mail-Betrachter einzusetzen, kann der Angreifer beliebigen Schadcode mit den Rechten des jeweiligen Benutzers bereits dann ausführen, wenn dieser sich den RTF-Inhalt in der Vorschau anzeigen lässt; bei anderen Mail-Programmen muss man den Dateianhang explizit öffnen. Das Update für Office schließt außerdem zwei weitere Lücken, die vertraulich an Microsoft gemeldet wurden.
Nutzer, die das provisorische Fix-it-Tool installiert haben, um Word das Öffnen von RTF-Inhalten gänzlich zu verbieten, müssen nach der Installation der Updates dieses wieder deinstallieren, sonst weigert sich Word nach wie vor, RTF-Dateien zu öffnen. Das Update von Microsoft deaktiviert die entsprechenden Registry-Einträge nämlich nicht automatisch. Das Fix-it-Tool kann über die entsprechende Support-Seite bei Microsoft wieder entfernt werden.
Das kritische Update-Paket MS14-018 für den Internet Explorer beseitigt sechs Lücken, die es Angreifern erlauben, Schadcode mit den Rechten des Opfers auszuführen, wenn dieses eine speziell konstruierte Webseite aufruft. Betroffen sind die IE-Versionen 6,7,8,9 und 11. Das Update für Windows behebt ein Problem im Umgang mit .bat- und .cmd-Dateien (MS14-019, CVE-2014-0315), das missbraucht werden kann, um Schadcode auszuführen. Dazu muss ein Angreifer sein Opfer dazu bringen, die Dateien von einem vertrauenswürdigen Ort im Netzwerk zu laden. Dieses Update betrifft alle momentan unterstützten Versionen von Windows (inklusive Windows XP). Das als wichtig eingestufte Update für den Publisher behebt ebenfalls eine Lücke, über die sich Systeme infizieren lassen, wenn der Anwender eine präparierte Datei öffnet. MS14-020 ist laut Microsoft das letzte Update für das gemeinsam mit XP in Rente geschickte Office 2003. (fab)
