Microsoft Patchday Dezember 2014

Sieben Security Bulletins zum Jahresausklang

| Redakteur: Stephan Augsten

Besonders hoch sollten im Dezember 2014 die Browser-Updates priorisiert werden, dazu zählen auch die Flash- und Silverlight-Aktualisierungen.
Besonders hoch sollten im Dezember 2014 die Browser-Updates priorisiert werden, dazu zählen auch die Flash- und Silverlight-Aktualisierungen. (Bild: Archiv)

Zum Dezember-Patchday schenkt Microsoft den Windows-Nutzern mehr Sicherheit in Form von acht Security Bulletins. Darunter finden sich drei kritische Updates sowie ein bereits im November angekündigter Patch für den Exchange Server. Über das gesamte Jahr 2014 hinweg haben sich 85 Einträge in der Patch-Datenbank angesammelt.

Vierzehn Schwachstellen im Internet Explorer (IE) wurden vertraulich an Microsoft gemeldet. Die Software-Entwickler haben die Fehler mit dem Sicherheitsupdate MS14-080 ausgeräumt, das insbesondere auf sämtlichen Anwendersystemen von Windows 8.1 (auch RT) bis hinunter zu Vista als kritisch eingestuft wird. Unter Server-Betriebssystemen gilt das Risiko als moderat.

Angreifer könnten eine Webseite aufsetzen, um über die Schwachstellen beliebigen Code auf dem System auszuführen (Remote Code Execution, RCE). Das Update verhindert dies unter anderem, indem es die Behandlung von Objekten im Speicher modifiziert sowie den Cross-Site-Scripting-Filter verbessert.

Das kumulative Update schließt außerdem eine kritsche RCE-Anfälligkeit in Visual Basic Script 5.8 (VBScript), allerdings nur in den IE-Versionen 9, 10 und 11. Die VBScript Engines unter IE 6, 7 und 8 erhalten einen Fix über das Security Bulletin MS14-084.

Zwei weitere Sicherheitslücken, die das externe Ausführen von Code erlauben, finden sich in Word 2007, 2010 und 2013 (auch RT) sowie Office 2010 und Office 2011 für Mac. Betroffen sind außerdem der Word Viewer und das Office Compatibility Pack.

Last but not least finden sich die Fehler auch in den Office-Diensten und Web Apps unter Microsoft SharePoint Server 2010 und 2013 sowie im Office Web Apps Server 2013. Abhilfe schafft der kritische Patch MS14-081, indem er das fehlerhaftes Parse von Office-Dateien verhindert.

In Microsoft Office und Excel wurden insgesamt drei weitere RCE-Anfälligkeiten entdeckt. Das Risiko einer erfolgreichen Systemkompromittierung ist hier aber geringer, so dass die entsprechenden Updates MS14-082 und MS14-083 lediglich als wichtig gelten.

Gleiches gilt für eine Verwundbarkeit der Grafikkomponente von Microsoft Windows. Hier kann es zu einer Preisgabe von Informationen kommen, wenn der Anwender eine Webseite öffnet, auf der ein speziell gestaltetes JPEG-Bild eingebunden wurde. Das Security Bulletin MS14-085 räumt die Anfälligkeit aus.

Zum Abschluss des Jahres bleibt Microsoft auch die aufgeschobene Aktualisierung MS14-075 aus dem November nicht schuldig. Der wichtige Patch für Exchange Server soll verhindern, dass die lokalen Benutzerrechte über speziell angepasste URLs angehoben werden können.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43118067 / Schwachstellen-Management)