Patchday heute mit zwei Bonus-Patches
Statt der angekündigten fünf hat Microsoft sieben Sicherheitsupdates veröffentlicht. Vier davon sind als "kritisch" eingestuft und können zur Ausführung von Schadcode aus der Ferne missbraucht werden. Auch Adobe hat einen Patch geliefert.
- Fabian A. Scherschel
Microsoft hat zum monatlichen Patchday insgesamt sieben Sicherheitsupdates veröffentlicht – das sind zwei mehr als letzte Woche angekündigt. Insgesamt werden damit 31 Lücken in allen derzeit unterstützten Versionen von Windows (ab XP aufwärts), im Internet Explorer, in Exchange und im .NET-Framework geschlossen. Vier der Updates stuft der Konzern als "kritisch" ein, die zugrundeliegenden Schwachstellen ermöglichen Angreifern das Ausführen von Schadcode über das Internet. Drei weitere Updates bewertet Microsoft mit der Priorität "hoch".
Die zwei überraschend aufgenommenen kritischen Updates betreffen alle noch unterstützten Versionen des Internet Explorers und die Scriptingsprache VBScript. Beim Browser allein werden 24 verschiedene Lücken gestopft, 23 davon wurden vertraulich an Microsoft gemeldet. Eine Lücke ist öffentlich bekannt und macht das Einspielen des Updates darum um so dringlicher.
Ein weiteres Update betrifft die Grafikschnittstelle Direct2D. Die von diesem Update geflickte Lücke kann von Angreifern dazu genutzt werden, Schadcode auszuführen wenn der Nutzer eine speziell präparierte Webseite besucht. Eine Schwachstelle im Netzwerk-Stack von Windows Server 2012, Windows 8 und Windows RT kann ein betroffenes System lahmlegen, wenn es mit speziell gestalteten IPv6-Paketen bombardiert wird.
Eine Lücke im Rechtesystem des .NET-Frameworks und eine weitere in den XML Core Services von Windows, welche diese zur Preisgabe von Informationen des Nutzers auf speziell eingerichteten Webseiten führt, wurden bereits in freier Wildbahn für Angriffe genutzt.
Adobe liefert Shockwave-Update
Adobe hat den Patchday genutzt, um eine Shockwave-Schwachstelle zu patchen. Bereits Anfang des Monats hatte die Firma ein Notfall-Update für den Flash Player herausgegeben. Die aktuelle Lücke betrifft Version 12.0.7.148 des Shockwave Players für Windows und Mac OS X. Zwei Speicherprobleme (CVE-2014-0500 und CVE-2014-0501) können von Angreifern genutzt werden, um betroffene Systeme über das Internet zu kapern. Adobe empfiehlt Nutzern so schnell wie möglich auf Shockwave 12.0.7.149 umzusteigen.
Nutzer, die Shockwave nicht unbedingt für bestimmte Anwendungen benötigen sollten darüber nachdenken, das Programm ganz zu deinstallieren. Anders als etwa Flash wird es beim alltäglichen Surfen im Netz in der Regel nicht benötigt.
Korrektur: Shockwave-Versionsnummern berichtigt. (fab)
