Microsoft Patchday Januar 2014

Office und Windows-Kernel gefährdet

| Redakteur: Stephan Augsten

Microsoft empfiehlt Administratoren, zunächst einmal das Kernel-Update zu installieren.
Microsoft empfiehlt Administratoren, zunächst einmal das Kernel-Update zu installieren. (Bild: Microsoft)

Microsoft lässt das Jahr gemächlich angehen und hat heute Abend nur vier Security Bulletins veröffentlicht. Nicht eine der damit geschlossenen Sicherheitslücken gilt als kritisch, alle Updates wurden als wichtig eingestuft. Korrigiert werden unter anderem Programmierfehler in Office-Produkten und im Windows-Kernel.

Zum ersten Patchday des Jahres 2014 schließt Microsoft über das Software-Portfolio hinweg insgesamt sechs Sicherheitslücken. Drei Schwachstellen wurden in MS Word und anderen Office-Komponenten entdeckt und sollen mit dem Security Bulletin MS14-001 aus der Welt geschafft werden.

Zu den gefährdeten Produkten zählen insbesondere die Word-Versionen 2003, 2007 2013 und 2013 RT. Anfällig sind laut Microsoft aber auch Office-Dienste und Web-Applikationen (Apps), die unter SharePoint Server 2010 sowie 2013 oder auf dem Microsoft Web Apps Server 2013 laufen.

Die Sicherheitsanfälligkeiten kommen zum Tragen, wenn ein Anwender eine entsprechend manipulierte Datei öffnet. Im schlimmsten Fall kann ein Angreifer sich die Benutzerrechte des angemeldeten Users sichern und Code von außerhalb des Netzwerks auf dem kompromittierten System ausführen (Remote Code Execution).

Zwei der jüngst bereitgestellten Sicherheitsupdates sollen verhindern, dass ein lokal angemeldeter Anwender seine Benutzerrechte anheben kann (Elevation of Privilege):

Mit dem Security Bulletin MS14-002 bereinigt Microsoft einen Fehler im Kernel von Windows XP und Windows Server 2003. Um die Schwachstelle auszunutzen, muss ein Angreifer lokal angemeldet sein und spezielle Inhalte an den Treiber NDProxy.sys übergeben, wofür eine darauf zugeschnittene Anwendung vonnöten ist.

Eine ähnliche Sicherheitsanfälligkeit findet sich auch in den Kernelmodus-Treibern von Windows 7 und Server 2008 R2. Laut Microsoft gibt es in diesem Fall Probleme beim Objekt-Handling, für eine korrekte Verarbeitung sorgt das Update MS14-003.

Die letzte Schwachstelle im Januar 2014 betrifft Microsoft Dynamics AX, eine Lösung fürs Enterprise Resource Planning (ERP). Sie ermöglicht es einem authentifizierten Angreifer, das komplette ERP-System lahmzulegen (Denial of Service, DoS), indem er speziell angepasste Daten an eine anfällige AOS-Instanz (Application Object Server) sendet.

Empfänglich für solche Angriffe sind Microsoft Dynamics AX 4.0 sowie die neueren Versionen Microsoft Dynamics AX 2009, 2012 und 2012 R2. Obwohl eine andere Lösung für das Problem nicht bekannt ist, weist Microsoft dem Patch MS14-004 eine recht geringe Priorität zu.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42484592 / Schwachstellen-Management)