Microsoft schließt 47 Sicherheitslücken in Windows, Office und IE

Microsoft hat an seinem September-Patchday 13 Sicherheitsupdates veröffentlicht, die insgesamt 47 Schwachstellen beseitigen sollen. Kritische Anfälligkeiten stecken in SharePoint Server, Outlook, Internet Explorer und Windows XP sowie Server 2003. Die restlichen neun Patches stuft das Unternehmen als „wichtig“ ein. Ein am vergangenen Donnerstag angekündigtes Update für .Net Framework lieferte Microsoft jedoch nicht aus.

Eine besonders hohe Priorität räumt Microsoft dem Update MS13-068 für Outlook 2007 und 2010 ein. Eine Anfälligkeit in S/MIME-Nachrichtenzertifikaten ermöglicht es einem Angreifer, Schadcode einzuschleusen und auszuführen, wenn ein Nutzer „eine Vorschau einer speziell gestalteten E-Mail-Nachricht anzeigt oder öffnet“. Die Erstellung von S/MIME-Zertifikaten an sich sei nicht schwer, ein Zertifikat aber so zu manipulieren, dass eine Schadcodeausführung möglich sei, sei sehr aufwendig, schreibt Microsoft in einem Blogeintrag.

In Internet Explorer 6, 7, 8, 9 und 10 stopft Microsoft zehn Löcher. Sie erlauben ebenfalls Remotecodeausführung, wenn ein Benutzer eine manipulierte Website besucht. Weitere zehn Fehler beseitigt das Unternehmen in Share Point Server 2007, 2010 und 2013. Hier könnten Cyberkriminelle speziell gestaltete Inhalte an einen betroffenen Server schicken, der die Eingaben nicht korrekt überprüft, was wiederum zur Ausführung von Schadcode auf dem Server führen kann.

Windows XP und Server 2003 sind über eine schwachstelle in der Komponente OLE angreifbar. Darüber hinaus korrigiert Microsoft Fehler in allen unterstützten Windows-Versionen, Word 2003, 2007 und 2010, Excel 2003, 2007, 2010 und 2013, Access 2007, 2010 und 2013, Frontpage 2003, und Office für Mac 2011.

Ein nicht sicherheitsrelevantes Update für Outlook 2013 hat das Unternehmen kurz nach der Veröffentlichung wieder zurückgezogen. Einem Eintrag im Office-Blog zufolge verschwand bei einigen Nutzern nach der Installation des Patches die Ordnerleiste. Grund dafür ist offenbar eine Inkompatibilität zwischen den Dateien „Outlook.exe“ und „mso.dll“.

Sie wird dadurch ausgelöst, dass einige Anwender entweder nur das September-Update oder einen im August bereitgestellten kumulativen Patch eingespielt haben. Betroffenen Nutzern rät Microsoft, den jeweiligen Patch (KB2817630 oder KB2817347) zu deinstallieren. Eine korrigierte Version des September-Updates will Microsoft in Kürze veröffentlichen. Das Problem stehe aber in keinem Zusammenhang mit dem Patch MS13-068.

[mit Material von Tom Brewster, TechWeekEurope]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago