Patchday: Microsoft und Adobe schließen kritische Lücken

Es ist mal wieder Groß-Patchtag: Bei Microsoft trifft es unter anderem Windows, Internet Explorer, Office; insgesamt 11 Updates, von denen 5 als kritisch eingestuft sind, stehen zur Installation bereit. Adobe hat neue Versionen von Flash, Shockwave und AIR veröffentlicht.

Der wichtigste Patch auf Microsofts Liste ist der seit Sommer bereits für Angriffe genutzte Fehler im TIFF-Codec des GDI+, der Windows Vista, diverse Office-Version und Lync betrifft (CVE-2013-3906, MS13-096). Wer das empfohlene Fix-It als temporären Schutz installiert hatte, braucht es nicht zu entfernen; [Update: um TIF-Dateien wieder korrekt anzuzeigen, muss man jedoch den Codec via "Disable this Fix it" aktivieren]. Ähnlich dringlich stufen die Microsoft-Experten das Sammel-Update für den Internet Explorer (MS13-097) ein, das ganze sieben Lücken schließt, und auch einen Fehler der Windows Laufzeit-Umgebung für Scripte (MS13-099).

Etwas seltsam erscheint, dass das Beheben eines Fehlers im Mechanismus, wie Windows digitale Signaturen checkt (WinVerifyTrust, MS13-098) demnach weniger dringlich sein soll. Immerhin erlaubt er ebenfalls das Einschleusen und Ausführen von Schadcode und wird auch bereits aktiv ausgenutzt. Exchange-Admins sollten unbedingt den ebenfalls kritischen Patch in MS13-105 auf ihre Todo-Liste setzen, der vier separate Lücken behandelt.

Die restlichen sechs Upates für Sharepoint, diverse Kernel-Treiber (KMD), der lokalen Interprozess-Kommunikation (LPC), ASP.NET und MS Office stuft Microsoft lediglich als wichtig ein. Für die bereits bekannte und aktiv ausgenutzte Kernel-Lücke, über die sich Angreifer auf Windows Server 2003 und XP Admin-Rechte erschleichen können, gibt es derzeit noch keinen Patch. Betroffene (Server-)Admins sollten erwägen, die Telefonie-Dienste still zu legen, wenn sie nicht benötigt werden. Microsoft fasst die Informationen zu den Dezember-Patches auf einer eigenen Seite zusammen.

Interessant ist, dass Microsoft en passant gleich neun UEFI-Secure-Boot-Module von anderen Herstellern sperrt (Microsoft Security Advisory 2871690). Systeme mit aktiviertem Secure Boot können damit dann nicht mehr starten. Angeblich soll es sich lediglich um Module handeln, die nicht öffentlich verfügbar seien und auch nicht etwa als Trojaner missbraucht wurden.

Parallel dazu hat auch Adobe zwei kritische Updates veröffentlicht. Die Flash-Versionen 11.9.900.170 für Windows und Mac und 11.2.202.332 für Linux beseitigen zwei Sicherheitslücken ihrer Vorgänger (CVE-2013-5331, CVE-2013-5332). Analog schließt auch die Shockwave-Version 12.0.7.148 zwei Lücken; wer eine alte Version von Shockwave installiert hat, sich aber nicht sicher ist, ob er sie überhaupt braucht, sollte sie einfach mal deinstallieren. Die meisten Anwender kommen auch gut ohne Shockwave aus. Schlussendlich veröffentlicht Adobe auch eine neue Version von AIR (3.9.1380).

Update 11.12.2013, 14:10: Informationen zum Umgang mit dem Fix-it korrigiert.

(ju)