Categories: Sicherheit

Mai-Patchday: Microsoft schließt kritische Lücken in Windows und Office

Microsoft hat an seinem Patch-Dienstag im Mai 13 Sicherheitsupdates veröffentlicht, die insgesamt 48 Schwachstellen in Windows, Office, Internet Explorer, SharePoint Server, .NET Framework, Silverlight und Lync beheben. Drei Aktualisierungen werden als kritisch eingestuft, da sie Remotecodeausführung ermöglichen. Die übrigen zehn Bulletins sind mit dem Schweregrad „hoch“ versehen. Sie erlauben laut Microsoft Rechteerweiterung, Offenlegung von Informationen, das Umgehen von Sicherheitsfunktionen und Denial of Service (DoS).

Der erste wichtige Patch MS15-043 beseitigt als kumulatives Sicherheitsupdate für Internet Explorer gleich 22 Schwachstellen, darunter 14 kritische Speicherfehler-Lücken. Betroffen sind sämtliche Versionen des Microsoft-Browsers – von IE6 unter Windows Server 2003 bis zu IE11 in der neuesten Windows-Version 8.1. Öffnet der Nutzer eine manipulierte Website, kann ein Angreifer dessen Benutzerrechte erlangen und Schadcode aus der Ferne ausführen.

Das zweite kritische Update MS15-044 behebt Anfälligkeiten im Microsoft-Schriftartentreiber, die sich unter Windows, .NET Framework, Office, Lync und Silverlight ausnutzen lassen. Auch hier ist Remotecodeausführung möglich, wenn der Anwender eine manipulierte Datei oder Website öffnet, in die TrueType-Schriftartdateien eingebettet sind.

Das dritte kritische Bulletin MS15-045 korrigiert einen Fehler im Programm Windows Journal, das standardmäßig bei allen Windows-Client-Versionen vorinstalliert ist. Windows-Server-Umgebungen sind nur betroffen, wenn Windows Journal durch Aktivieren der Desktop-Experience-Funktionen installiert wurde. Um die Lücke zur Remotecodeausführung auszunutzen, müssen Angreifer den Nutzer dazu verleiten, eine manipulierte Journaldatei zu öffnen. Laut Microsoft sind Benutzer mit Konten, die über weniger Systemrechte verfügen, davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten.

Die restlichen Updates beheben weniger gravierende Sicherheitsprobleme. Neben den 13 Patches stellt Microsoft wie üblich auch eine aktualisierte Version seines „Windows-Tool zum Entfernen bösartiger Software“ bereit. Das Programm erkennt und löscht eine Auswahl gängiger Malware, die sich im System eingenistet hat.

Anwender sollten vor allem die kritischen Updates schnellstmöglich installieren, falls sie nicht ohnehin die automatische Aktualisierung unter Windows nutzen. Die Patches können direkt über die jeweiligen Bulletins oder Microsoft Update beziehungsweise Windows Update bezogen werden.

Mit dem Start von Windows 10 könnte Microsoft auf die üblichen Patchdays verzichten. Denn mit dem kommenden, plattformübergreifenden Betriebssystem verfolgt es auch eine neue Update-Strategie, die es vergangene Woche auf der Konferenz Ignite in Chicago vorgestellt hat.

[mit Material von Ed Bott, ZDNet.com]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago