Microsoft schließt kritische Lücken in Windows und IE

Microsoft hat 14 Sicherheitsupdates veröffentlicht, die insgesamt 33 Schwachstellen beseitigen sollen. Darunter sind mehrere als kritisch eingestufte Anfälligkeiten in Windows und Internet Explorer. Zwei der für heute angekündigten Updates (MS14-068 und MS14-075) hat das Unternehmen jedoch zurückgehalten. Ein neuer Veröffentlichungstermin ist noch nicht bekannt.

Die größte Gefahr geht nach Angaben des Unternehmens von einer Lücke im Microsoft Secure Channel (Schannel) aus. Ein Angreifer könnte mithilfe speziell präparierter Netzwerkpakete, die an einen Windows Server geschickt werden, Schadcode einschleusen und ausführen. Davon betroffen sind Windows Server 2003, Vista, Server 2008, 7, Server 2008 R2, 8 und 8.1, Server 2012 und 2012 R2 sowie RT und RT 8.1.

Ebenfalls als kritisch stuft Microsoft zwei Schwachstellen in allen Windows-Versionen ein, die in der Komponente Windows Object Linking and Embedding (OLE) stecken. Eine davon wird seit vergangenem Monat für zielgerichtete Angriffe mit manipulierten PowerPoint-Dateien eingesetzt. Microsoft hatte dafür Ende Oktober ein Fix-it-Tool veröffentlicht, um Nutzer vor den Auswirkungen eines Angriffs zu schützen.

Allein 17 Anfälligkeiten soll das Update MS14-065 in Internet Explorer 6, 7, 8, 9, 10 und 11 beseitigen. Hier könnte ein Angreifer mithilfe einer manipulierten Website die Kontrolle über ein betroffenes System übernehmen. Microsoft hat nach eigenen Angaben mehrere Speicherfehler korrigiert und auch die Implementierung der Sicherheitsfunktion Address Space Layout Randomization verbessert.

HIGHLIGHT

Windows XP: so sicher wie nie

Seit Wochen überbieten sich einige Medien mit Horrormeldungen zum Ende des Supports für Windows XP. Demnach müssen XP-Anwender mit Plagen biblischen Ausmaßes rechnen. Doch mit ein paar Maßnahmen lässt sich das 2001 erschienene Betriebssystem guten Gewissens weiterbetreiben.

Weitere Löcher hat der Softwarekonzern in den XML Core Services, Office 2007, Word 2007, Word Viewer, Office Compatibility Pack, TCP/IP, Windows Audio Service, .NET Framework, Active Directory Federation Services und SharePoint Foundation gestopft. Lücken im Remote-Desktop-Protokoll und den Internet Information Services (IIS) erlauben zudem das Umgehen von Sicherheitsfunktionen. Auch sie wurden nun durch ein Update geschlossen. Ein Patch für die Kernelmodus-Treiber soll schließlich Denial-of-Service-Angriffe verhindern.

Nutzern des Enhanced Mitigation Experience Toolkit (EMET) empfiehlt Microsoft, auf die neue Version 5.1 umzusteigen, bevor sie das Udpate für den Internet Explorer installieren. Es könnte im Zusammenhang mit EMET 5.0 zu Problemen führen.

Darüber hinaus hat Microsoft auch eine neue Version des Windows Tools zum Entfernen bösartiger Software bereitgestellt. Es kann nun die Malware-Familien Win32/Tofsee und Win32/Zoxpng erkennen und entfernen. Anwender sollten die Updates schnellstmöglich installieren. Sie können über die jeweiligen Bulletins oder Microsoft Update beziehungsweise Windows Update bezogen werden.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

5 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago