Microsoft Patchday Juni 2012

Kritische Updates für Internet Explorer und Windows

| Redakteur: Stephan Augsten

Drei Microsoft-Updates gelten im Juni 2012 als besonders kritisch.
Drei Microsoft-Updates gelten im Juni 2012 als besonders kritisch.

Zum Juni-Patchday 2012 hat Microsoft gestern Abend insgesamt sieben Security Bulletins veröffentlicht. Ein Update behebt kritische Fehler in sämtlichen Browser-Versionen des Internet Explorer und sollte deshalb besondere Priorität genießen.

Mit sieben Updates, von denen drei als kritisch gelten, behebt Microsoft seit gestern Abend insgesamt 27 Sicherheitslücken. Die kritischen Schwachstellen ermöglichen einem externen Angreifer das Ausführen von Code auf anfälligen Rechnern (Remote Code Execution).

Security Bulletin MS12-036 betrifft allerdings nur Systeme, auf denen das Remote Desktop Protocol (RDP) nachträglich aktiviert wurde. Um ein System über die Sicherheitslücke zu komprimittieren, muss der Angreifer eine Reihe speziell angepasster RDP-Datenpakete an das anfällige System schickt.

Das Sicherheitsupdate betrifft ausnahmslos alle OS-Versionen. Nach Angaben von Microsoft wiegt das Risiko unter den Server-Betriebssystemen 2003 und 2008 sowie den 32-Bit- und 64-Bit-Versionen von Windows 7 mit Service Pack 1 besonders schwer. Im Falle der Client-Betriebssysteme XP und Vista sowie Windows 7 ohne Service Pack bestehe hingegen nur ein moderates Risiko.

Das kritische Update MS12-038 beseitigt eine Schwachstelle im .NET-Framework, die sich per XAML-Browser-Applikation (XBAP) ausnutzen lässt. Betroffen sind sämtliche Versionen des .NET-Frameworks, sofern nicht die aktuellsten Service Packs eingespielt wurden.

Ein Angreifer müsste den Anwender allerdings auf eine entsprechend programmierte oder manipulierte Website locken – beispielsweise mithilfe eines Links, der per E-Mail oder Instant Messenger verschickt wird. Eingeschränkte Benutzerkonten sind weniger gefährdet, als Accounts mit Administrator-Rechten. .NET-Framework-Anwendungen können dank der Schwachstelle außerdem Einschränkungen durch die Codezugriffssicherheit (CAS) umgehen.

Gleich 13 Sicherheitslücken im Internet Explorer gehören mit dem Security Bulletin MS12-037 der Vergangenheit an. Sämtliche Browser-Versionen von IE6 bis IE9 sind betroffen.

Auf die Client-Betriebssysteme Windows 7, Vista und XP wirken sich die Anfälligkeiten besonders schwer aus. Im schlimmsten Fall droht ebenfalls eine Remote Code Execution. Der Patch hindert Angreifer daran, sich dieselben Rechte wie der aktuell angemeldete Benutzer zu sichern.

Das Update MS12-039 behebt ebenfalls eine Remote-Code-Execution-Anfälligkeit in Microsoft Lync, wird vom Hersteller allerdings nur als wichtig eingestuft. Gleiches gilt für die drei übrigen Patches, die lokale Anwender daran hindern sollen, ihre Benutzerrechte anzuheben.

Während das Security Bulletin MS10-040 eine Schwachstelle im Microsoft Dynamics AX Enterprise Portal schließt, beseitigt das Update MS12-041 fünf Anfälligkeiten im Kernel-Modus-Treiber von Windows. Zwei weitere Fehler im Windows Kernel werden mit dem Patch MS12-042 ausgemerzt.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 34135630 / Schwachstellen-Management)