Microsoft Patchday September 2013

Schwere Office- und Browser-Schwachstellen

| Redakteur: Stephan Augsten

Gleich mehrere Sicherheitslücken bergen im September 2013 ein großes Risiko.
Gleich mehrere Sicherheitslücken bergen im September 2013 ein großes Risiko. (Bild: Microsoft)

Vierzehn Security Bulletins stehen bei Microsoft im September 2013 auf dem Programm. Vier davon gelten als kritisch und sollen vornehmlich Sicherheitslücken in SharePoint, Office Outlook sowie im Internet Explorer schließen. Windows XP und Server 2003 bedürfen ebenfalls einer dringenden Reparatur.

Gleich zehn Sicherheitslücken finden sich aktuell im Microsoft SharePoint Server, die schwerwiegendste betrifft das W3WP-Netzwerkdienstkonto. Die Schwachstelle kann einem Angreifer außerhalb des Netzwerks ermöglichen, Code auf einem anfälligen System auszuführen (Remote Code Execution, RCE). Hierfür muss er speziell gestaltete Inhalte an den jeweiligen Server senden.

Das Security Bulletin MS13-067 betrifft die Microsoft SharePoint Server 2007, 2010 und 2013, die SharePoint Services 2.0 und 3.0 sowie Microsoft SharePoint Foundation 2010. Als besonders anfällig gelten auch die Microsoft Office-Dienste und Web Apps unter Microsoft SharePoint Server 2010. Im Falle der Excel Services auf Microsoft SharePoint Server 2007 wird das Sicherheitsupdate als wichtig eingestuft.

Microsoft Outlook ist ebenfalls anfällig für eine Remote Code Execution. Mithilfe einer auf die Schwachstelle ausgerichtete E-Mail kann sich der Angreifer die Rechte des angemeldeten Nutzers sichern. Der Anwender muss die E-Mail nicht einmal öffnen, entsprechender Angriffscode greift schon während der Vorschau.

Sämtliche unterstützten Editionen von Microsoft Outlook 2007 und 2010 sind laut Hersteller von der kritischen Sicherheitslücke betroffen. Mit dem Sicherheitsupdate MS13-068 korrigiert Microsoft, wie Outlook speziell gestaltete S/MIME-Mails analysiert.

Hinter der Aktualisierung MS13-069 verbirgt sich ein kumulatives Sicherheitsupdate für den Internet Explorer (IE), welches zehn Schwachstellen schließt. Besucht dein Anwender eine speziell angepasste oder manipulierte Webseite, droht im schlimmsten Fall ebenfalls eine RCE.

Mit dem Patch ändert Microsoft, wie der Browser Objekte im Speicher verarbeitet. Der Code-Flicken ist für die Browser-Versionen IE6 bis IE10 unter sämtlichen Windows-Versionen gedacht, ausgenommen die Core-Installationen von Windows Server 2008, 2008 R2 und 2012. Nicht betroffen ist hingegen der Internet Explorer 11.

Code-Korrektur für alte Windows-Versionen

Die vierte kritische Software-Aktualisierung behebt eine RCE-Anfälligkeit in Windows XP mit Service Pack 3 (SP3), in der Windows XP Professional x64 Edition SP2 und in allen Server-2003-Editionen mit SP2 einschließlich der Itanium-Version. Abhilfe schafft das Security Bulletin MS13-070.

Um die Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer sein Opfer dazu bringen eine Datei zu öffnen, die ein speziell gestaltetes OLE-Objekt enthält. Das Update modifiziert, wie OLE-Objekte im Speicher verarbeitet werden.

Die zehn übrigen Sicherheitsupdates stuft Microsoft allesamt als wichtig, aber nicht als kritisch ein. Der Patch MS13-071 schließt eine RCE-Lücke im Windows-Theme-Manager, die sich mit einer manipulierten Designdatei ausnutzen lässt.

Wichtiger für Unternehmen sind derweil die Security Bulletins MS13-072, MS13-073 und MS13-074. Sie beheben insgesamt 19 RCE-Anfälligkeiten in verschiedenen Office-Komponenten, darunter Excel und MS Access. Das Update MS13-075 ist hingegen nur für das chinesische Microsoft Office IME gedacht und verhindert das unerwünschte lokale Anheben der Benutzerrechte.

Zwei weitere solcher Schwachstellen finden sich in den Kernelmodustreibern der Microsoft-Betriebssysteme und im Windows Service Control Manager. Mit den Aktualisierungen MS13-076 und MS13-077 wird die lokale Anhebung der Benutzerrechte im Voraus verhindert.

Das Security Bulletin MS13-078 behebt eine Schwachstelle in Microsoft Frontpage, die das unerwünschte Auslesen von Informationen ermöglicht. Eine Denial-of-Service-Anfälligkeit fand sich dagegen im Microsoft Active Directory, genauer im Lightweight Directory Access Protocol (LDAP). Der Patch MS13-079 soll das Problem aus der Welt schaffen-

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42305135 / Schwachstellen-Management)