Patchday: Microsoft stopft kritische Lücken in Windows und Office
Am Patchday im Mai verteilt Microsoft mehr als ein Dutzend Sicherheitsupdates. Drei davon werden als kritisch und zehn als wichtig eingestuft. Dabei sind viele Produkte aus Microsofts Portfolio betroffen.
Microsoft stellt ab sofort 13 Patches bereit, die Sicherheitslücken in Windows, Office, Microsoft Server-Software, .NET Framework, Silverlight und dem Internet Explorer schließen sollen. Die drei als kritisch eingestuften Schwachstellen erlauben es Angreifern direkt, Code auszuführen.
Kritische Lücken in Windows, Office, Silverlight und Internet Explorer
Eine Schwachstelle in Microsofts Schriften-Treiber (MS15-044) betrifft neben Windows auch .NET Framework, Office, Lync und Silverlight. Lassen sich Nutzer manipulierte Dokumente unterjubeln oder auf präparierte Webseiten mit eingebetteten TrueType-Schriften locken, könnten Angreifer Schadcode ausführen.
Die zweite kritische Lücke klafft in Windows Journal (MS15-045). Für einen erfolgreichen Angriff müssen Nutzer eine manipulierte Journal-Datei öffnen. Postwendend könnten Angreifer eigenen Code auf dem System ausführen. Dabei sollen Nutzer mit eingeschränkten Rechten weniger gefährdet sein. Betroffen sind Windows 7, 8, 8.1, RT, RT 8.1 und Windows Server 2008 R2, 2012, 2012 R2.
Der letzte im Mai als kritische eingestufte Patch betrifft den Internet Explorer (MS15-043) und das Sammel-Update soll die Codeausführung von Angreifern abwehren. Um Schadcode auf das System zu schmuggeln, genügt es, dass Anwender eine präparierte Webseite besuchen. Damit könnte der Angreifer im Zuge des Übergriffs die gleichen Rechte bekommen wir der aktuelle Nutzer.
Über die anderen als wichtig eingestuften Lücken könnten Angreifer ebenfalls Code ausführen, Nutzerrechte ausweiten, Sicherheitsmechanismen des Systems umgehen, eine DoS-Attacke fahren und Nutzerdaten abgreifen. Microsoft zufolge sollen Angreifer aktuell noch keine Lücke aktiv ausnutzen. Admins sollten dennoch alle 13 Sicherheitsupdates zeitnah installieren.
In Zukunft effektiver verschlüsseln
Ein zusätzlicher Patch erweitert die Standardliste in bestimmten Windows- und Windows-Server-Versionen um zusätzliche Verschlüsselungssammlungen und passt deren Prioritätenreihenfolge an. Damit will Microsoft die Effektivität der Verschlüsselung steigern. Das Update 3042058 ist anfänglich zu Testzwecken ausschließlich im Microsoft Download Center zu finden. Im 4. Quartal will Microsoft es dann über die gängigen Wege verteilen. (des)
