Microsoft Patchday Oktober 2013

Kritische Updates für Internet Explorer und .NET-Framework

| Redakteur: Stephan Augsten

Drei Sicherheitsupdates sollten zum Oktober-Patchday 2013 besonders zeitnah eingespielt werden.
Drei Sicherheitsupdates sollten zum Oktober-Patchday 2013 besonders zeitnah eingespielt werden. (Bild: Microsoft)

Zum Oktober-Patchday 2013 hat Microsoft acht Security Bulletins bereitgestellt, mit denen insgesamt 28 Betriebssystem- und Software-Schwachstellen der Vergangenheit angehören sollen. Vier der Updates gelten als kritisch, eines davon stopft zehn Sicherheitslücken im Internet Explorer.

Sieben der acht jüngsten Security Bulletins von Microsoft sollen verhindern, dass ein Angreifer von außen Code auf anfälligen Systemen ausführt (Remote Code Execution, RCE). Hier kann es sich als Vorteil erweisen, wenn man an einem Benutzerkonto mit möglichst geringen Rechten angemeldet ist (eingeschränktes Konto).

Besondere Priorität genießt das Update MS13-080 für den Internet Explorer, da es Anfälligkeiten behebt, die von Angreifern bereits aktiv ausgenutzt werden. Um Code auf einem betroffenen System auszuführen, muss ein Angreifer sein Opfer dazu bringen, eine speziell angepasste Webseite mit dem Microsoft-Browser zu öffnen.

Unter Client-Versionen von Windows gilt der Patch als kritisch, auf Servern besteht nur ein moderates Risiko. Von den RCE-Schwachstellen sind nahezu alle Browser-Versionen betroffen, angefangen beim IE 6 bis hin zum IE 11 für Windows 8.1 und Windows RT 8.1. Einzige Ausnahme bildet der IE 11, wenn er unter Windows 7 und der 64-Bit-Version von Windows Server 2008 R2 läuft.

Das Security Bulletin MS13-081 schafft sieben Sicherheitslücken in den Kernelmodus-Treibern von Windows aus der Welt. Auch hier droht eine Remote Code Execution, wenn ein lokaler Benutzer geteilte Inhalte mit eingebetteten OpenType- oder TrueType-Schriftarten ansieht. Bis auf Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 werden alle Microsoft-Betriebssysteme aktualisiert.

Risikobehaftete .NET-Frameworks

Drei Sicherheitslücken wurden im .NET-Framework gefunden, auch hier kann eine manipulierte OpenType-Schriftart zur RCE führen. Abhilfe schafft der Patch MS13-082. Abhängig von der Framework-Version und dem jeweiligen Betriebssystem gelten die Anfälligkeiten als kritisch.

Als moderat ist das Risiko im Falle der .NET-Frameworks 2.0 SP2 und 3.5 SP1 einzustufen. Ein besonders hohes Risiko ist im Falle der .NET-Frameworks 3.0 SP 2, 3.5 und 3.5.1 sowie in Microsoft .NET Framework 4 und 4.5 gegeben. Software-seitig bleiben nur die älteren Framework-Versionen 1.0 mit Service Pack 3 (SP3) sowie 1.1 SP1 verschont, auch unter Windows 8.1, Windows Server 2012 R2 und Windows RT 8.1 besteht keine Gefahr.

Das vierte kritische Security Bulletin MS13-083 widmet sich einer Schwachstelle in der Windows Common Control Library. Um die Schwachstelle auszunutzen, muss der Angreifer eine speziell gestaltete Webanfrage an eine ASP.NET-Webanwendung absetzen, die auf dem anfälligen System läuft.

Im Falle der 64-Bit-Versionen unterstützter Windows-Versionen gilt das Update als kritisch. 32-Bit-Systeme werden ebenfalls aktualisiert, allerdings sind hier die entsprechenden Angriffsvektoren standardmäßig ohnehin blockiert. Nicht betroffen sind Windows XP SP3, Windows 8.1 sowie RT 8.1 und Windows Server 2013 R2.

Drei der übrigen vier lediglich als wichtig eingestuften Aktualisierungen beheben Fehler in verschiedenen Office-Komponenten. Das Update MS13-084 richtet sich an Microsoft SharePoint Server, der Patch MS13-085 ist für Excel gedacht und das Update MS13-086 nimmt sich Word-Schwachstellen an. Derweil soll das Security Bulletin MS13-087 eine Anfälligkeit in Silverlight beheben.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42348148 / Schwachstellen-Management)