Juli-Patchday: Microsoft schließt kritische Lücken in Windows und IE

Microsoft hat an seinem Juli-Patchday insgesamt 14 Sicherheitsupdates veröffentlicht. Vier davon schließen als kritische eingestufte Lücken in Windows und Internet Explorer. Das von den weiteren Anfälligkeiten in SQL Server, Windows und Office ausgehende Risiko bewertet Microsoft als „hoch“.

In Internet Explorer 6, 7, 8, 9, 10 und 11 stecken insgesamt 28 kritische Schwachstellen. Darunter ist ein Fehler, der in den Hacking-Team-Dokumenten beschrieben wird. Ein Angreifer könnte unter Umständen Schadcode einschleusen und ausführen. Ein Opfer muss er dafür nur auf eine speziell gestaltete Website locken. Nutzer sollten außerdem das von Adobe gestern veröffentlichte Notfall-Update für den Flash Player installieren, sofern sie das Flash-Player-Plug-in in Verbindung mit dem Internet Explorer nutzen.

Ähnlich schwerwiegend wie die IE-Lücken sind auch Fehler in der VBScript-Engine von Windows Server 2003 und 2008 und Vista und dem Remote-Desktop-Protokoll unter Windows 7 und 8. Der Hypervisor Hyper-V kann unter Windows Server 2008, 2008 R2, 8 und 8.1 sowie Server 2012 und 2012 R2 benutzt werden, um Malware in einer virtuellen Maschine zu installieren. Allerdings muss ein Angreifer über gültige Anmeldeinformationen für das Gastbetriebssystem verfügen.

Wichtige Updates stellt Microsoft für SQL-Server 2008, 2008 R2, 2012, 2014, Office 2007, 2010, 2013 und 2013 RT, Office für Mac 2011 sowie Word- und Excel-Viewer und das Office Compatibility Pack zur Verfügung. Sie erlauben ebenfalls eine Remotecodeausführung. Anfälligkeiten in den Komponenten Netlogon, Windows Graphics, Kernelmodustreiber, Windows Installer, OLE, Windows Remoteprozeduraufruf und ATM Font Driver erlauben zudem eine unautorisierte Ausweitung von Nutzerrechten. Entdeckt wurden die Schwachstellen unter anderen von Mitarbeitern von Google und Trend Micro sowie HPs Zero Day Initiative.

Neben den 14 Patches stellt Microsoft wie üblich auch eine aktualisierte Version seines „Windows-Tool zum Entfernen bösartiger Software“ bereit. Das Programm erkennt und löscht eine Auswahl gängiger Malware, die sich im System eingenistet hat.

Anwender sollten vor allem die kritischen Updates schnellstmöglich installieren, falls sie nicht ohnehin die automatische Aktualisierung unter Windows nutzen. Die Patches können direkt über die jeweiligen Bulletins oder Microsoft Update beziehungsweise Windows Update bezogen werden.

Windows Server 2003 hat durch das Ende des Extended-Support gestern letztmalig kostenlose Sicherheitsupdates erhalten. Das gilt für die Originalversion als auch die R2-Edtionen des vor zwölf Jahren gestarteten Server-Betriebssystems.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.