Microsoft Patchday September 2014

Internet Explorer verwundbar für Code Injection Angriffe

| Autor / Redakteur: Stephan Augsten / Stephan Augsten

Mit 37 Sicherheitslücken ist der Internet Explorer im September einmal mehr die anfälligste Software im Hause Microsoft.
Mit 37 Sicherheitslücken ist der Internet Explorer im September einmal mehr die anfälligste Software im Hause Microsoft. (Bild: Microsoft)

Mit vier Security Bulletins, von denen nur eines als kritisch eingestuft wurde, fällt der Microsoft Patchday im September 2014 geradezu spärlich aus. Das wichtigste Update-Paket behebt aber allein 37 Sicherheitslücken im Internet Explorer – darunter Anfälligkeiten, die es einem Angreifer erlauben, Code aus der Ferne einzuschleusen und auszuführen.

Mit dem kumulativen Sicherheitsupdate MS14-052 fügt Microsoft dem Internet Explorer neue Berechtigungsüberprüfungen für Objekte im Speicher hinzu. Das Update wird für sämtliche Browser-Versionen von IE 6 bis IE 11 bereitgestellt und gilt unter Windows-Clients als kritisch. Im Falle der Server-Installationen geht Microsoft von einem mittleren Risiko aus.

Um die aktuellen Remote-Code-Execution-Schwachstellen im Internet Explorer (IE) auszunutzen, muss der Angreifer den Nutzer auf eine speziell gestaltete Webseite locken. Dies könnte ihm beispielsweise mithilfe von Spam-Mails oder gefälschten Social-Networking-Meldungen gelingen. Letztlich kann sich der Angreifer die Benutzerrechte seines Opfers verschaffen.

Das Security Bulletin MS14-053 wird für etliche Versionen des .NET-Frameworks ausgerollt und soll mögliche Dienstblockaden (Denial of Service, DoS) verhindern. Um eine Webseite dazu zu bringen, dass sie ihren Dient versagt, müsste ein Angreifer nur eine kleine Anzahl speziell gestalteter Anfragen an sie übermitteln.

Die anfällige Komponente ist allerdings nicht von Haus aus aktiviert. Um von der Schwachstelle betroffen zu sein, muss ASP.NET manuell installiert und bei den Internet Information Services (IIS) registriert worden sein. Das Risiko wird dementsprechend auch nur als „hoch“ angesehen, trotzdem werden alle Client- und Server-Installationen des Frameworks aktualisiert.

Eine weitere DoS-Anfälligkeit findet sich nebst zwei weiteren Schwachstellen im Microsoft Lync Server 2010 und 2013. Das Update MS14-055 soll korrigieren, wie der Lync Server Benutzereingaben bereinigt und Ausnahmen sowie NULL-Dereferenzierungen verarbeitet. Der Risiko-Schweregrad wird von Microsoft als hoch eingeschätzt.

Bleibt noch eine Sicherheitslücke im Taskplaner von Microsoft Windows, die mit dem Patch MS14-054 das Zeitliche segnen soll. Mithilfe der Schwachstelle könnte ein Angreifer, der sich lokal am System anmeldet, die eingeräumten Berechtigungen mithilfe einer manipulierten Anwendung erhöhen. Betroffen sind in diesem Fall Windows 8 und 8.1, Windows RT und RT 8.1 sowie Windows Server 2012 und 2012 R2 (Revision 2).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42939125 / Schwachstellen-Management)