Microsoft schließt im Mai 33 Sicherheitslücken
Neben einer kritischen Internet-Explorer-Lücke, die bereits für Angriffe missbraucht wird, hat das Unternehmen unter anderem Schwachstellen in sämtlichen Windows-Versionen, Office und den Windows Essentials behoben.
Nicht nur bei Adobe [1], sondern auch bei Microsoft ist der Mai-Patchday umfangreich ausgefallen: Die Redmonder Softwareschmiede hat am Dienstagabend zehn Patch-Pakete (Bulletins) herausgegeben, die insgesamt 33 Sicherheitslöcher abdichten sollen [2]. Kritische Lücken beheben zwei der Bulletins, allesamt im Internet Explorer. Darüber hinaus gab es unter anderem Patches für sämtliche Windows-Versionen, Office und die Windows Essentials.
Besonderes Augenmerk liegt auf dem Bulletin MS13-038 [3], das eine kritische Schwachstelle im Internet Explorer 8 behebt, die bereits für Cyber-Angriffe missbraucht wird [4]. Die Lücke befindet sich um CGenericElement-Objekt. Es handelt sich um einen Use-After-Free-Fehler, also um einen ausnutzbaren Zugriff auf einen bereits freigegebenen Speicherbereich. Das andere Internet-Explorer-Bulletin [5] betrifft sämtliche noch unterstützte Versionen des Browsers, also 6 bis 10. Das Sammelupdate behebt eine Reihe kritischer Lücken (ebenfalls Use-After-Free), die sich zum Einschleusen von Schadcode eignen.
Die übrigen Patch-Pakete stuft Microsoft als wichtig sein. MS13-046 [6] behebt Rechteausweitungslücken im Kernel sämtlicher Windows-Versionen. MS13-039 [7] betrifft hingegen nur Windows 8 und Server 2012: Der Kernel-Treiber HTTP.sys lässt sich durch speziell präparierete HTTP-Header aus dem Tritt bringen, wodurch Clients und Server von Angreifern dazu gebracht werden können, den Dienst einzustellen (Denial of Service).
Drei Bulletins sichern Komponenten von Microsoft Office ab; Patches gibt es für Publisher 2003 bis 2010 [8], Word 2003 und Word Viewer [9] sowie Visio 2003 bis 2010 [10]. Darüber hinaus wurde das .NET Framework 2.0 bis 4.5 [11], die Konferenzsoftware Communitcator 2007 R2 und Lync 2010 bis 2013 [12] abgesichert. Last but not least hat Microsoft anlässlich seines Mai-Patchdays auch noch Sicherheitsupdates für seine Tool-Pakete Windows Essentials 2011 und 2012 [13] herausgegeben. (rei [14])
URL dieses Artikels:
https://www.heise.de/-1863086
Links in diesem Artikel:
[1] https://www.heise.de/news/Dringende-Sicherheitspatches-fuer-ColdFusion-Adobe-Reader-Acrobat-und-Flash-1863078.html
[2] http://technet.microsoft.com/de-de/security/bulletin/ms13-may
[3] http://technet.microsoft.com/de-de/security/advisory/2847140
[4] https://www.heise.de/news/IE8-Luecke-fuer-Angriffe-auf-US-Energiesektor-ausgenutzt-1856783.html
[5] https://technet.microsoft.com/de-de/security/bulletin/ms13-037
[6] https://technet.microsoft.com/de-de/security/bulletin/ms13-046
[7] https://technet.microsoft.com/de-de/security/bulletin/ms13-039
[8] https://technet.microsoft.com/de-de/security/bulletin/ms13-042
[9] https://technet.microsoft.com/de-de/security/bulletin/ms13-043
[10] https://technet.microsoft.com/de-de/security/bulletin/ms13-044
[11] http://technet.microsoft.com/de-de/security/bulletin/ms13-040
[12] https://technet.microsoft.com/de-de/security/bulletin/ms13-041
[13] https://technet.microsoft.com/de-de/security/bulletin/ms13-045
[14] mailto:rei@heise.de
Copyright © 2013 Heise Medien