Microsoft Patchday Juli 2014

Kritische Fehler in Internet Explorer und Windows Journal

| Redakteur: Stephan Augsten

Besonderer Aufmerksamkeit bedürfen im Juli 2014 der Internet Explorer und das Windows Journal.
Besonderer Aufmerksamkeit bedürfen im Juli 2014 der Internet Explorer und das Windows Journal. (Bild: Microsoft)

Zwei kritische und vier wichtige Security Bulletins stehen zum Juli 2014 auf der Patch-Liste von Microsoft. Ein kumulatives Update für den Internet Explorer behebt dabei zwei Dutzend Sicherheitsanfälligkeiten. Eine weitere kritische Schwachstelle wurde im Notizprogramm Windows Journal gemeldet.

Mit dem kumulativen Sicherheitsupdate MS14-037 wird der Internet Explorer (IE) von einer öffentlich und 23 vertraulich gemeldeten Schwachstellen befreit. In den schwerwiegenderen Fällen könnte ein externer Angreifer Code auf dem System ausführen (RCE, Remote Code Execution), sofern der lokale Benutzer eine speziell gestaltete Webseite aufruft.

Anfällig sind alle noch unterstützten Browser-Versionen, angefangen beim IE 6 bis hin zum IE 11. Auf Client-Rechnern gilt das Update als kritisch, das Risiko auf Windows-Servern wird als mittel eingestuft. Das Sicherheitsupdate korrigiert, wie der Browser Objekte im Speicher verarbeitet, Berechtigungen überprüft und die Zertifikate während einer TLS-Sitzung verhandelt.

Das Security Bulletin MS14-038 soll eine Sicherheitslücke in Windows Journal schließen. Auch hier kann es zu einer RCE kommen, wenn der lokale Benutzer eine manipulierte Journal-Datei öffnet. Im Rahmen des Updates wird die Analyse entsprechender Dateien durch Windows Journal geändert.

Alle unterstützten Windows-Versionen erhalten ein Update, darunter Windows 8.1, Windows 8.1 RT, Windows 7 oder auch alle Releases von Windows Server 2012 und 2008 (Itanium-Versionen ausgenommen). In sämtlichen Fällen gilt der Patch als kritisch.

Drei der vier verbleibenden, wichtigen Security Bulletins sollen verhindern, dass ein lokal angemeldeter Benutzer seine Berechtigungen anhebt. Anfällig sind der Treiber für zusätzliche Funktionen (Ancillary Function Driver, AFD) und das Multimedia-Framework DirectShow. Abhilfe schaffen die Patches MS14-040 und MS14-041.

Das Update MS14-039 richtet sich hingegen an die Bildschirmtastatur (OSK, On.Screen Keyboard). Um die Schwachstelle auszunutzen, muss der Anwender das Keyboard startem und gleichzeitig ein speziell gestaltetes Programm auf das Zielsystem hochladen.

Eine Denial-of-Service-Schwachstelle im Microsoft Service Bus soll derweil mit dem Security Bulletin MS14-042 ausradiert werden. Anfällig sind betroffene Server-Systeme nur, wenn der Microsoft Service Bus heruntergeladen, installiert und konfiguriert und anschließend die Konfigurationsdetails (Farmzertifikat) für andere Benutzer freigegeben wurde.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42791592 / Schwachstellen-Management)