Microsoft Patchday Oktober 2014

Ernste Schwachstellen in Internet Explorer und .NET-Framework

| Redakteur: Stephan Augsten

Einige der Schwachstellen, die Microsoft im Oktober 2014 schließt, werden bereits von Angreifern ausgenutzt.
Einige der Schwachstellen, die Microsoft im Oktober 2014 schließt, werden bereits von Angreifern ausgenutzt. (Bild: Microsoft)

Zwei Dutzend Sicherheitslücken sollen mit dem zehnten Patchday 2014 der Vergangenheit angehören, mehr als die Hälfte davon finden sich im hauseigenen Browser. Um sämtliche Fehler in der Produktpalette zu beheben, rollt Microsoft acht Sicherheitsupdates aus, drei davon wurden als kritisch eingestuft.

Vierzehn Sicherheitslücken im Internet Explorer (IE) werden mit dem Security Bulletin MS14-056 geschlossen. Die schlimmsten Anfälligkeiten können beim Betrachten manipulierter Webseiten dazu führen, dass ein entfernter Angreifer Code auf dem System ausführen kann (Remote Code Execution, RCE).

Das kumulative Update ändert, wie Objekte im Speicher verarbeitet werden, und verbessert die Berechtigungsprüfung sowie die Umsetzung der Sicherheitsfunktion ASLR (Adress Space Layout Randomization). Besonders gefährdet sind aktuelle -Betriebssysteme – also Windows 8 und 8.1, Windows 7 und Vista sowie Windows RT und RT 8.1. Ist der Microsoft-Browser hingegen Teil eines Server-Betriebssystems, gilt das Risiko als moderat.

Drei Schwachstellen wurden im .NET- entdeckt, eine davon in der Funktion iriParsing. Diese erlaubt ebenfalls RCE-Attacken, indem der Angreifer mit internationalen Buchstaben angereicherte Anfragen an die verwundbare .NET-Applikation sendet. Das Update-Paket MS14-057 soll Abhilfe schaffen.

Der Patch wird für alle Versionen des Programmiergerüsts ab Microsoft .NET Framework 2.0 Service Pack 2 (SP2) und aufwärts ausgeliefert. Microsoft modifiziert dabei die Kommunikation zwischen dem .NET-Framework und dem ClickOnce-Installationsprozess. Nachgearbeitet wird auch hinsichtlich der Anfrageverarbeitung sowie bei der ASLR-Implementierung.

Mit dem dritten kritischen Security Bulletin MS14-058 stopft Microsoft zwei Sicherheitslücken im Kernelmodustreiber von Windows. Der ernstere Fehler kann ebenfalls für RCE-Attacken genutzt werden, wenn der Anwender dazu gebracht wird, manipulierte Dokumente oder Webseiten zu öffnen. Sämtliche Windows-Versionen werden überarbeitet. Der Software-Flicken korrigiert, wie Objekte im Speicher sowie TrueType-Schriften verarbeitet werden.

Zwei der fünf übrigen, als wichtig eingestuften Updates beheben ebenfalls RCE-Schwachstellen. Eine davon lässt sich mit manipulierten OLE-Objekten (Object Linking and Embedding) ausnutzen, die in Office eingebunden werden. Die andere Sicherheitslücke betrifft speziell die Word-Komponenten von MS Office. Die Security Bulletins MS14-060 und MS14-061 sollen die Probleme beheben.

Die Sicherheitsaktualisierungen MS 14-062 und MS14-063 sollen das lokale Anheben von Benutzerrechten verhindern. Gefährdet sind in diesen Fällen der Message Queuing Service von Windows Server 2003 sowie der FAT32 Disk Partition Driver. Der fünfte wichtige Patch MS14-059 für ASP.NET soll hingegen das Umgehen von Sicherheitsfunktionen verhindern.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43007966 / Schwachstellen-Management)