Microsoft patcht angegriffene Internet-Explorer-Lücken und mehr

Anlässlich seines Oktober-Patchdays hat Microsoft acht Patch-Pakete herausgegeben. Vier davon dichten kritische Lücken ab, die andere Hälfte behandelt Schwachstellen der zweithöchsten Gefahrenklasse. Das Hauptaugenmerk liegt diesen Monat auf dem Sammel-Patch für den Internet Explorer, der endlich das kritische Sicherheitsloch schließt, welches seit Mitte vergangenen Monats für Cyber-Angriffe missbraucht wird. Zudem beheben die Patches unter anderem eine weitere Lücke ähnliches Kalibers, die von Angreifern ebenfalls bereits aktiv genutzt werden soll – was Microsoft zuvor allerdings nicht bekanntgegeben hatte.

Ein als kritisch eingestuftes Sammelupdate soll sieben Schwachstellen auf einen Streich beheben, die vor allem Kerneltreiber fast aller Windows-Versionen betreffen. Einzig Windows 8.1 sowie RT und Server 2012 R2 seien nicht betroffen. Durch die Lücken kann ein Angreifer in einigen Konstellationen Schadcode einschleusen. In den meisten Fällen gelangt er dabei an höhere Rechte; unter anderem durch ein Schlupfloch im USB-Stack.

Darüber hinaus hat die Redmonder Softwareschmiede kritische Lücken im .NET-Framework geschlossen. Eine davon wurde dem Unternehmen öffentlich gemeldet (Public Disclosure), weshalb man auch dieses Update zügig installieren sollte. Das vierte und letzte der "kritischen" Patch-Pakete soll einen Pufferüberlauf in der Bibliothek Comctl32 beseitigen, die vielerorts zum Einsatz kommt. Ein Angreifer kann die Schwachstelle zum Beispiel über ein speziell präpariertes Word- oder WordPad-Dokument ausnutzen.

Die übrigen vier von Microsoft als "wichtig" eingestuften Patches widmen sich Word 2003 und 2007, Excel 2007 bis 2013 (einschließlich RT, Office für Mac und dem Office Viewer), Silverlight 5 und dem SharePoint Server 2007 bis 2013. Da sich die betroffenen Lücken überwiegend zum Einschleusen von Code eignen, sollte man auch hier nicht mit der Installation zögern. (rei)