Microsoft Patchday November 2014

Etliche Schwachstellen erlauben Code-Ausführung

| Redakteur: Stephan Augsten

Der Internet Explorer hat die meisten Anfälligkeiten, im Falle von Windows 8.1 wird auch gleich Adobe Flash aktualisiert.
Der Internet Explorer hat die meisten Anfälligkeiten, im Falle von Windows 8.1 wird auch gleich Adobe Flash aktualisiert. (Bild: Archiv)

Fünf kritische Security Bulletins hat Microsoft zum November-Patchday 2014 angekündigt, ausgerollt wurden bislang aber nur derer vier. Der Internet Explorer ist dabei die Software mit den meisten betroffenen Funktionen und Komponenten.

Das erste Security Bulletin MS14-064 behebt zwei vertraulich gemeldete Sicherheitslücken in Microsoft Windows OLE (Object Linking and Embedding). Sie ermöglichen es einem Angreifer, Code von außen auszuführen (Remote Code Execution, RCE), wenn das Opfer eine manipulierte Webseite mit dem Internet Explorer öffnet.

Die kritische Anfälligkeit betrifft letztlich alle Windows-Clients und -Server, selbst wenn wie im Falle der Server-Core-Installationen der Microsoft-Browser nicht zum Einsatz kommt. Eine erfolgreiche Attacke resultiert darin, dass der Angreifer die Berechtigungen des aktuell angemeldeten Benutzers übernimmt. Über ein Administrator-Konto könnte er somit Anwendungen installieren und andere Benutzerkonten bearbeiten.

Ebenfalls für den Internet Explorer (IE) wird das kumulative Sicherheitsupdate MS14-065 ausgerollt, welches 17 Schwachstellen behebt. Auch hier lauern RCE-Schwachstellen, über die ein externer Angreifer über speziell angepasste Webseiten auf den Rechner zugreifen kann.

Das Patch-Paket verbessert unter anderem die Behandlung von Objekten im Speicher und erweitert den IE um neue Berechtigungsvalidierungen. Es gilt für alle Client-Betriebssysteme und verfügbaren Browser-Versionen (von 6 bis 11) als kritisch, im Falle der Windows Server sieht Microsoft ein moderates Risikopotenzial.

Im Security Bulletin MS14-066 gibt Microsoft bekannt, dass eine kritsche Anfälligkeit im sogenannten Secure Channel (Schannel) gefunden wurde. Die RCE-Schwachstelle lässt sich ausnutzen, indem ein Angreifer manipulierte Datenpakete an ein anfälliges System sendet. Betroffen sind alle Windows-Betriebssysteme, weitere Details gibt Microsoft nicht bekannt.

Hinter dem Update-Eintrag MS14-067 verbirgt sich ebenfalls eine vertraulich gemeldete RCE-Anfälligkeit, dieses Mal in den XML Core Services 3.0. Um die Anfälligkeit auszunutzen, muss der Angreifer den angemeldeten Nutzer beispielsweise per Spam dazu bringen, eine manipulierte Webseite zu besuchen. Erneut sind sämtliche Windows-Clients besonders gefährdet.

Fehlt in dieser Auflistung noch der angekündigte kritische Patch MS14-068. Dieser wird offenbar aber nicht ausgerollt, zumindest finden sich dazu noch keine detaillierten Informationen in Microsofts Update-Bibliothek. Gleiches gilt für das Update MS14-075, das wie acht weitere Sicherheitsaktualisierungen als wichtig eingestuft wurde.

Wichtige und moderate Sicherheitslücken

Drei RCE-Anfälligkeiten in Microsoft Office sollten mit dem Update MS14-069 der Vergangenheit angehören. Außerdem behebt Microsoft in diversen Software-Produkten Fehler, die das Anheben der aktuellen Benutzerrechte (Evelation of Privilege, EoP) ermöglichen. Den Anfang macht dabei der Patch MS14-070 für das Internetprotokoll TCP/IP. Die zweite EoP-Schwachstelle findet sich im Windows Audio Service und wird mit dem Security Bulletin MS14-071 behoben.

Weiter geht es mit dem .NET-Framework, das mithilfe des Patches MS14-072 geflickt wird. Der vierte Verdächtige im Bunde ist der Microsoft SharePoint Server, der mit der Sicherheitsaktualisierung MS14-073 seiner Anfälligkeit entledigt wird. Die letzte EoP-Schwachstelle lässt sich nur ausnutzen, wenn die japanische Variante des Input-Method-Editors (IME) verwendet wird, und wird mit dem Software-Flicken MS14-078ausgeräumt.

Die Security Bulletins MS14-074 und MS14-076 sollen derweil verhindern, dass ein Angreifer integrierte Sicherheitsfunktionen im Remote Desktop Protocol (RDP) und in den Microsoft Internet Information Services (IIS) umgeht. Das verbleibende Update MS14-079 verhindert, dass über eine Schwachstelle in den Kernelmodus-Treibern von Windows ein Denial-of-Service ausgeführt werden kann.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43062260 / Schwachstellen-Management)