Microsoft Patchday Februar 2014

Unerwartete Updates für Internet Explorer und VB Script

| Redakteur: Stephan Augsten

Offenbar sind die Lücken in Internet Explorer und VBScript so ernst, dass Microsoft die Updates geheimgehalten oder erst kurzfristig eingeplant hat.
Offenbar sind die Lücken in Internet Explorer und VBScript so ernst, dass Microsoft die Updates geheimgehalten oder erst kurzfristig eingeplant hat. (Bild: Microsoft)

Nicht nur die Tage werden im Februar 2014 länger, sondern auch die Liste der von Microsoft veröffentlichten Security Bulletins: Statt der angekündigten fünf Patches rollt der Software-Hersteller gleich sieben aus. Vier davon gelten als kritisch, ein Update-Paket für den Internet Explorer allein schließt gleich 24 Sicherheitslücken.

Recht kurzfristig hat Microsoft zum Februar-Patchday ein Update für den Internet Explorer (IE) bereitgestellt. Die schlimmsten Anfälligkeiten können dazu führen, dass ein Angreifer aus der Ferne bösartigen Code auf dem Rechner ausführt (Remote Code Execution, RCE). Hierfür muss er sein Opfer dazu bringen, eine speziell aufgesetzte oder manipulierte Webseite zu besuchen.

Letztlich sind alle Browser-Versionen von IE6 bis IE11 betroffen, das Risiko variiert aber je nach Windows-Version. Die größte Gefahr besteht bei den Client-Installationen, also unter Windows 8.1, Windows 8 und 7, Vista sowie XP. Im Rahmen der Aktualisierung MS14-010 werden unter anderem zusätzliche Berechtigungsprüfungen installiert und die Objektbehandlung des Browsers angepasst.

Das zweite unvorhergesehene Update soll einen Fehler in der Scripting Engine von Visual Basic Script (VBScript) ausradieren. Der Gefährdungsgrad ist ähnlich, wie bei der erstgenannten Sicherheitslücke: Auch hier muss der Angriff über eine speziell darauf ausgelegte Webseite erfolgen, im schlimmsten Fall kommt es zur RCE.

Sämtliche Client-Betriebssysteme – von Windows XP über Windows 7 bis hin zu Windows RT – sind einer besonders großen Gefahr ausgesetzt, unter Server-Installationen gilt das Risiko als moderat. Das Security Bulletin MS14-011 ändert, wie das Skriptmodul die im Speicher gehaltenen Objekte verarbeitet.

Die beiden übrigen kritischen Updates merzen ebenfalls RCE-Anfälligkeiten aus. Der Patch MS14-007 nimmt sich der Grafik-Schnittstelle Direct2D an. Als kritisch gilt es unter allen jüngeren Microsoft-Betriebssystemen, angefangen bei Windows 7 und einschließlich Windows Server 2012 sowie dessen zweiter Revision (R2).

Hinter dem Kürzel MS14-008 verbirgt sich ein Sicherheitsupdate für eine anfällige Sicherheitskomponente: Scannt die Lösung „Microsoft Forefront Protection 2010 for Exchange Server“ eine angepasste E-Mail, dann kann dies ebenfalls zu einer RCE-Verwundbarkeit führen. Weitere Schwachstellen-Details gibt Microsoft in diesem Fall nicht bekannt.

DoS-Anfälligkeit in IPv6

Bleiben noch drei weitere Security Bulletins, die allerdings durchweg ein etwas geringeres Risikopotenzial besitzen. Besonders interessant ist dabei eine Denial-of-Service-Schwachstelle in IPv6, die mit dem Patch MS14-006 behoben wird. Mithilfe einer großen Anzahl entsprechender Datenpakete lassen sich Windows 8, Windows RT und Windows Server 2012 in die Knie zwingen, der Angreifer muss sich allerdings im gleichen Subnetz befinden.

Das Update-Bundle MS14-009 ist derweil für drei Anfälligkeiten im .NET-Framework zuständig, die möglicherweise eine Anhebung der Benutzerrechte erlauben. Mit dem Security Bulletin MS14-005 schafft Microsoft einen Fehler in den XML Core Services aus der Welt, der zu einer ungewollten Preisgabe schützenswerter Informationen führen kann.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42527825 / Schwachstellen-Management)