Patchday: Microsoft schließt kritische Lücken in Windows, IE und Office
Zwei von acht Updates werden als kritisch eingestuft. Nutzer sollten die Patches zügig einspielen, denn laut der Firma werden einige der Lücken bereits für Angriffe eingesetzt.
- Fabian A. Scherschel
Wie angekündigt hat Microsoft im Rahmen seines Patchdays für den Mai acht Patchpakete veröffentlicht. Von den Sicherheitsupdates werden zwei als "kritisch" eingestuft, die übrigen sechs gelten als "wichtig". Insgesamt schließt die Firma 13 Sicherheitslücken im Internet Explorer, in Windows, in Microsoft Office, in SharePoint und im .NET Framework. Laut der Firma werden einige der Schwachstellen bereits von Angreifern verwendet, um Nutzer anzugreifen.
Aus diesem Grund sollten vor allem die Updates für ein Office-Steuerelement (MS14-024), die Group-Policy-Einstellungen in Windows (MS14-025) und das Sicherheitsupdate für den Internet Explorer (MS14-029) so schnell wie möglich installiert werden. Beim Patch für den Internet Explorer ist Vorsicht geboten, da es sich nicht um ein kumulatives Update handelt – Update MS14-018 vom April-Patchday muss auf dem System installiert sein, damit der neuere Patch installiert werden kann.
Keine Patches für XP, Kulanz für Windows-8.1-Nutzer
Von den Updates betroffen sind alle Windows-Versionen von Windows XP bis 8.1 und Windows Server 2003 bis 2012 sowie alle Versionen von Microsoft Office 2007 bis 2013. Das Internet-Explorer-Update versorgt alle Versionen des Browsers von IE 6 bis 11.
Da der Support-Zeitraum für Windows XP ausgelaufen ist, stellt Microsoft für die Lücken in dieser Version keine Patches bereit. Wie bereits Anfang der Woche angekündigt wurde, erhalten Nutzer von Windows 8.1 allerdings auch ohne das KB2919355-Update Patches für ihr System.
Optionale Updates schalten RC4 in .NET und ein Secure-Boot-Modul ab
Zusätzlich zu den Patch-Paketen hat Microsoft auch vier Sicherheitshinweise herausgegeben. Mit den dazugehörigen Updates entfernt die Firma den als nicht mehr sicher geltenden RC4-Algorithmus aus der TLS-Implementierung des .NET Frameworks. Microsoft hatte den RC4-Cipher im November bereits in Windows deaktiviert.
Ein weiteres Update entfernt die Signaturen eines UEFI-Secure-Boot-Moduls für eine nicht näher genannte Backup-Software, so dass diese von Systemen mit Secure Boot nicht mehr ausgeführt wird. Microsoft hat diesen Schritt nach eigenen Angaben in Zusammenhang mit dem Hersteller der Software vorsorglich vollzogen, um seine Kunden vor einer Sicherheitslücke zu schützen, die allerdings nach aktuellem Kenntnisstand noch nicht ausgenutzt wird. Außerdem hat Microsoft Updates veröffentlicht, die Adobes Flash Player aktualisieren und die Sicherheit der Domänenanmeldung von Windows 8 und Windows Server 2012 verbessern. (fab)
