Juni-Patchday: Microsoft stopft kritische Löcher in Windows und Internet Explorer

Microsoft hat an seinem Patch-Dienstag im Juni acht Sicherheitsupdates veröffentlicht, die insgesamt 45 Schwachstellen in Windows, Office, Internet Explorer und Exchange Server beheben. Zwei Aktualisierungen gelten als kritisch, da sie Remotecodeausführung ermöglichen. Die übrigen sechs Bulletins sind mit dem Schweregrad „hoch“ eingestuft. Sie erlauben laut Microsoft Rechteerweiterung und ebenfalls unter bestimmten Umständen das Ausführen von Schadcode.

Der erste wichtige Patch MS15-056 beseitigt als kumulatives Sicherheitsupdate für Internet Explorer gleich 24 Schwachstellen, darunter 20 kritische Speicherfehler-Lücken. Betroffen sind sämtliche Versionen des Microsoft-Browsers, von IE6 bis IE11. Für Windows-Clients gilt der Schweregrad „kritisch“ für Server „mittel“. Öffnet der Anwender eine manipulierte Website, kann ein Angreifer dessen Benutzerrechte erlangen und Schadcode aus der Ferne ausführen. Laut Microsoft sind Benutzer mit Konten, die über weniger Systemrechte verfügen, davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten.

Das zweite kritische Update MS15-057 behebt eine Anfälligkeit im Windows Media Player 10 bis 12, die sich unter Windows Vista, 7, Server 2003, Server 2008, Server 2008 R2 ausnutzen lassen. Auch hier kann ein Angreifer die vollständige Kontrolle über das betroffene System erlangen und Remotecode ausführen, wenn der Anwender manipulierte Medieninhalte öffnet.

Die restlichen Updates beheben weniger gravierende Sicherheitsprobleme. Vier davon betreffen Windows, eins Office und eins Microsoft Exchange Server. Patch MS15-061 schließt beispielsweise Lücken in Windows-Kernelmodustreibern, die im schlimmsten Fall die Erhöhung von Berechtigungen ermöglichen. Wenn ein Angreifer sich bei dem System anmeldet und kann er ein Schadprogramm installieren, um Daten auszulesen, zu ändern oder zu löschen sowie neue Konten mit sämtlichen Benutzerrechten erstellen.

Seltsam am Patchday dieses Monats ist, dass Microsoft ursprünglich neun Nummern für seine Bulletins reserviert hat – von 56 bis 64. Das Update MS15-58 taucht jedoch nirgends auf und der zugehörige Knowledge-Base-Artikel enthält nur einen Platzhaltertext. Das deutet darauf hin, das diese Aktualisierung in letzter Sekunde zurückgezogen wurde.

Neben den acht Patches stellt Microsoft wie üblich auch eine aktualisierte Version seines „Windows-Tool zum Entfernen bösartiger Software“ bereit. Das Programm erkennt und löscht eine Auswahl gängiger Malware, die sich im System eingenistet hat.

Anwender sollten vor allem die kritischen Updates schnellstmöglich installieren, falls sie nicht ohnehin die automatische Aktualisierung unter Windows nutzen. Die Patches können direkt über die jeweiligen Bulletins oder Microsoft Update beziehungsweise Windows Update bezogen werden.

Mit dem Start von Windows 10 könnte Microsoft auf die üblichen Patchdays am zweiten Dienstag eines jeden Monats verzichten. Denn mit dem kommenden, plattformübergreifenden Betriebssystem verfolgt es auch eine neue Update-Strategie, die es Anfang Mai auf seiner Konferenz Ignite in Chicago vorgestellt hat.

[mit Material von Ed Bott, ZDNet.com]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.