Microsoft behebt 17 kritische Lecks

Microsoft schließt zum Jahresende 17 kritische Lecks in verschiedenen Produkten. Ein jüngst entdecktes Leck im Internet Explorer bleibt zumindest bis Januar ungepatcht.

Microsoft veröffentlicht im Rahmen des Patchdays für Dezember sieben Sicherheitsupdates. Insgesamt schließt Microsoft damit auch 17 kritische Sicherheitslecks, die unter anderem das Einschleusen und Ausführen von Schadcode möglich machen können. Die Verwundbarkeiten liegen in Windows, Internet Explorer und in Word.

Mit einem kumulativen Patch für Internet Explorer 6, 7, 8, 9, 10 und 11 behebt Microsoft 14 Anfälligkeiten. Laut Patch MS14-080 können diese Lecks auch für Remotecodeausführung missbraucht werden, wenn ein Benutzer eine speziell gestaltete Website mit Internet Explorer anzeigt. Microsoft korrigiert mehrere Speicherfehler und hat auch die Implementierung der Sicherheitsfunktion Adress Space Layout Randomization verbessert.

Zwei als kritisch eingestufte Schwachstellen in Microsoft Word sowie den Office Web Apps betreffen Word 2007, 2010, 2013, 2013 RT, Word Viewer, Office Compatibility Pack und auch Office für Mac 2011. Das Update steht aber auch für die Word-Automatisierungsdienste unter SharePoint Server 2010 und 2013 sowie die Office Web Apps 2010 und 2013 zur Verfügung.

Das Update MS14-084 beseitigt einen ebenfalls als kritisch bewerteten Fehler im Skriptmodul VBScript von Windows Server 2003, Vista, Server 2008, 7 und 2008 R2. Auch hier kann der Besuch einer speziell gestalten Website dazu führen, dass ein Angreifer die vollständige Kontrolle über ein System erlangt.

Weitere Updates, die Microsoft im Rahmen seines Dezember-Patchdays veröffentlicht hat, stuft das Unternehmen als wichtig ein. Sie beseitigen Schwachstellen in Office 2007, 2010, 2013 und 2013 RT, Excel 2007, 2010, 2013 und 2013 RT sowie der Graphics-Komponente Windows Server 2003, Vista, Server 2008, 7, Server 2008 R2, 8 und 8.1, Server 2012 und 2012 R2 und RT und RT 8.1. Schließlich hat der Softwarekonzern ein bereits im November angekündigtes Update für Exchange Server 2007, 2010 und 2013 bereitgestellt, das eine unautorisierte Ausweitung von Nutzerrechten verhindern soll.

Darüber hinaus hat Microsoft auch eine neue Version des Tools zum Entfernen bösartiger Software freigegeben, das jedoch keine zusätzlichen Malware-Familien erkennt. Nach Herstellerangaben soll es aber die Erkennung und Entfernung von Schadprogrammen verbessern. Darüber hinaus stehen 16 nicht sicherheitsrelevante Updates für verschiedene Windows-Versionen zum Download bereit.

2014 hat Microsoft damit insgesamt 85 Sicherheitsupdates veröffentlicht. Im Vorjahr mussten Nutzer von Microsoft-Produkten bis zu 106 Sicherheitspatches installieren. 2012 waren es 83.

Allerdings beendet Microsoft das Jahr wahrscheinlich mit einer Zero-Day-Lücke in Internet Explorer, auf die HPs Zero Day Initiative in der vergangenen Woche hingewiesen hatte. Dass Microsoft in den kommenden drei Wochen noch einen außerplanmäßigen Fix für die Lücke, die es seit Juni kennt, veröffentlicht, ist wohl eher unwahrscheinlich. Daher sollten Anwender die Installation des Anti-Hack-Tools Enhanced Mitigation Experience Toolkit in Betracht ziehen. Das Programm bietet erweiterte Schutzmechanismen gegen das Ausnutzen von Sicherheitslücken. Anwender oder Administratoren können damit für ausgewählte Programme zusätzliche Sicherheitstechnologien zur Schadensbegrenzung einsetzen, um diese nachträglich abzuhärten. Dadurch lassen sich zahlreiche Angriffsmethoden blockieren, die von Schadsoftware und Exploits ausgenutzt werden.

Download: