Acht Aktualisierungen zum Microsoft Patchday Mai 2014

Kritische Updates für SharePoint und Internet Explorer

| Redakteur: Stephan Augsten

Microsoft hat zum Mai-Patchday 2014 unter anderem ein weiteres Update-Paket für den Internet Explorer bereitgestellt.
Microsoft hat zum Mai-Patchday 2014 unter anderem ein weiteres Update-Paket für den Internet Explorer bereitgestellt. (Bild: pro motion pic - Fotolia.com)

Für den Internet Explorer, der bereits zum 1. Mai außerplanmäßig gepatcht wurde, steht seit gestern Abend ein zusätzliches Sicherheitupdate parat. Darüber hinaus hat Microsoft zum Mai-Patchday einen kritischen Patch für SharePoint und Office sowie sechs weitere Security Bulletins veröffentlicht.

Zwei kritische Sicherheitsaktualisierungen stehen im Mai 2014 auf dem Patch-Plan von Microsoft. Das erste Update-Paket schließt mehrere Sicherheitslücken in verschiedenen Office-Server- und -Produktivitätslösungen. Dazu zählen die Office Web Apps, die SharePoint Server 2007, 2010 und 2013, die SharePoint Services 3.0 und die SharePoint-Komponenten Foundation und Designer.

Die Schwachstelle ermöglicht das externe Ausführen von Code (Remote Code Execution, RCE), wenn ein Angreifer in Besitz der Server-Zugangsdaten ist und speziell angepasste Inhalte an das Zielsystem sendet. Das Security Bulletin MS14-022 sorgt dafür, dass anfällige Server und Anwendungen entsprechend manipulierte Inhalte bereinigen.

Der Internet Explorer erhält neben dem Update MS14-021, das bereits am 1. Mai veröffentlicht wurde, eine weitere Aktualisierung. Der Microsoft-Patch MS14-029 wird unter allen -Versionen (IE 6 bis IE 11) als kritisch eingestuft, ein moderates Risiko besteht laut Microsoft in den Server-Installationen des Browsers.

Manipulierte Web-Objekte, die im Speicher gehalten werden, können in diesem Fall ebenfalls zu einer Remote Code Execution führen. Der Anwender muss dementsprechend eine auf die Schwachstelle angepasste Webseite aus freien Stücken besuchen oder vom Angreifer dorthin gelockt werden.

Die verbleibenden sechs Security Bulletins werden nicht so hoch priorisiert, gelten aber zumindest als wichtig. Zwei Sicherheitslücken, darunter ebenfalls eine weniger kritische RCE-Schwachstelle, wurden in Microsoft Office 2007, 2010 und 2013 gemeldet.

Um einem solchen Angriff zum Opfer zu fallen, muss ein Anwender eine Office-Datei öffnen, die sich zwingend im gleichen Netzordner wie eine vom Angreifer angepasste Bibliotheksdatei befinden muss. Microsoft steuert mit dem Sicherheitsupdate MS14-023 dagegen.

Die drei Patches MS14-025, MS14-026 und MS14-027 sollen lokal angemeldeten Nutzern ein unerlaubtes Anheben der Rechte verweigern. Bei den betroffenen Windows-Lösungen handelt es sich um das , das .NET- und den Windows Shell Handler.

Mit dem Update MS14-028 will Microsoft außerdem mögliche Denial-of-Service-Angriffe gegen Windows verhindern. Offenbar lassen sich -Server mit einer großen Menge angepasster iSCSI-Datenpakete in die Knie zwingen. Das Security Bulletin MS14-024 wiederum soll verhindern, dass bestimmte Web-Inhalte eine mögliche Sicherheitsprüfung durch die Microsoft Common Control umgehen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42692603 / Schwachstellen-Management)