Patchday: Microsoft schließt kritische Office- und IIS-Schwachstellen

In gebührendem Abstand zu den Späßen des Monatsanfangs hat Microsoft seine routinemäßigen, monatlichen Updates veröffentlicht. Insgesamt handelt es sich um elf Patchpakete, vier davon werden als "kritisch" bewertet. Insgesamt wurden 26 Sicherheitslücken geschlossen – es handelt sich also um einen vergleichsweise ruhigen Monat für Microsoft. Die vier kritischen Lücken haben es allerdings in sich: In allen vier Fällen ist die Ausführung von Schadcode von außen möglich.

Kritische Lücken in Office und im Webserver IIS

Eine bis dato unbekannte Lücke in Office wird bereits für Angriffe ausgenutzt, mindestens dieses Update sollte also zügig eingespielt werden (MS15-033). Um die Lücke auszunutzen muss ein Angreifer ein Opfer dazu kriegen, ein vorbereitetes Dokument zu öffnen, das Schadcode enthält. Betroffen sind Office 2007, 2010, 2013 sowie Office für den Mac und einige Versionen von SharePoint Server.

Administratoren von Windows Servern, die aus dem Internet zu erreichen sind, sollten ebenfalls handeln. Eine Lücke im Kernel-Modul HTTP.sys des Webservers IIS wird zwar momentan laut Microsoft nicht ausgenutzt, stellt aber eine große Gefahr dar (MS15-034). Ein Angreifer kann hier mit einem bösartigen HTTP-Request das System dazu bringen, Schadcode auszuführen. Bis auch diese Lücke für Angriffe missbraucht wird ist wohl nur eine Frage der Zeit. Betroffen sind Windows 7, 8, 8.1, Server 2008 R2, Server 2012, Server 2012 R2 und bestimmte Server-Core-Installationen.

Bei den restlichen Updates für kritische Lücken handelt es sich um das Sammelupdate für den Internet Explorer (MS15-032) und um eine Lücke in einer Grafikkomponente von Windows (MS15-035), die zur Codeausführung missbraucht werden kann, falls der Angreifer es schafft, sein Opfer auf eine präparierte Webseite zu locken. SharePoint Server, Windows selbst und die XML Core Services erhalten Updates, die als "wichtig" eingestuft sind. Ebenso werden Fehler in den Active Directory Services und im .NET-Framework behoben.

Poodle-Fix für den IE 11, PKU2U-Update

Als verspätete Reaktion auf den Poodle-Angriff hat Microsoft nun auch SSLv3.0 im Internet Explorer 11 dauerhaft deaktiviert. Das Update 3009008 ersetzt nun die bisher von der Firma propagierte Fix-it-Lösung. Alle anderen Versionen des IE benötigen weiterhin die Workarounds, die Microsoft auf der Informations-Seite zu dem Update beschreibt.

Ein weiteres Update für Windows 8.1 und Server 2012 R2 verbessert die Sicherheit der Anmeldekomponente Public Key Cryptography User-to-User (PKU2U). Diese wird vor allem beim Austausch von Daten in Heimnetzen zwischen einzelnen Computern eingesetzt, wenn diese sich nicht in einer Domäne befinden. Mit dem optionalen Update wird die Anmeldung über PKU2U in einigen Situationen abgehärtet. Microsoft empfiehlt das Update im Rahmen einer Defense-in-Depth-Strategie – also der Abhärtung sekundärer Komponenten, die zwar nicht direkt Angriffen ausgesetzt sind, Angreifer aber aufhalten, falls sie auf anderem Wege in das System eindringen. (fab)