Microsoft beseitigt 48 Lücken in Windows und Office

Update (Bild: Shutterstock)

Insgesamt 13 Updates veröffentlicht der Softwarekonzern am Mai-Patchday. Drei davon stuft Microsoft als kritisch ein. Sie ermöglichen Remotecodeausführung. Die weiteren Fixes gelten als wichtig. Mit ihnen können Angreifer Recht erweitern und DoS-Attacken ausführen.

Mit dem Patchday im Mai hat Microsoft 13 Patches veröffentlicht. Sie beseitigen insgesamt 48 Schwachstellen in Windows, Office, Internet Explorer, SharePoint Server, .NET Framework, Silverlight und Lync. Der Softwarekonzern stuft drei der Updates als kritisch ein, da sie Lücken schließen, die Remotecodeausführung ermöglichen. Die übrigen zehn Bulletins haben die Einstufung “hoch” erhalten. Sie erlauben Microsoft zufolge Rechteerweiterung, Offenlegung von Informationen, das Umgehen von Sicherheitsfunktionen und Denial of Service (DoS).

Mit dem Patch MS15-043 behebt Microsoft als kumulatives Sicherheitsupdate für Internet Explorer 22 Sicherheitslücken. Dazu zählen 14 kritische Speicherfehlerlücken. Sämtliche Versionen des Microsoft-Browsers – von IE6 unter Windows Server 2003 bis zu IE11 in der neuesten Windows-Version 8.1 sind davon betroffen. Angreifer können die Benutzerrechte eines Nutzers erlangen, wenn dieser eine manipulierte Website öffnet. Anschließend lässt sich Schadcode aus der Ferne ausführen.

Das zweite kritische Update MS15-044 schließt Schwachstellen im Microsoft-Schriftartentreiber, die sich unter Windows, .NET Framework, Office, Lync und Silverlight ausnutzen lassen. Angreifer können auch diese für Remotecodeausführung ausnutzen, wenn Anwender eine manipulierte Datei oder Website öffnen, in die TrueType-Schriftartdateien eingebettet sind.

windows-jeans-patch-thumbMicrosoft beseitigt mit dem dritten kritischen Bulletin MS15-045 einen Fehler im Programm Windows Journal, das standardmäßig bei allen Windows-Client-Versionen vorinstalliert ist. Davon sind nur Windows-Server-Umgebungen betroffen, wenn Windows Journal durch Aktivieren der Desktop-Experience-Funktionen installiert wurde. Um die Lücke zur Remotecodeausführung auszunutzen, müssen Angreifer den Nutzer dazu verleiten, eine manipulierte Journaldatei zu öffnen. Laut Microsoft sind Benutzer mit Konten, die über weniger Systemrechte verfügen, davon möglicherweise weniger betroffen als Benutzer mit Administratorrechten.

Die restlichen Updates korrigieren weniger gravierende Sicherheitsprobleme. Zusätzlich zu den 13 Patches veröffentlicht Microsoft wie üblich eine aktualisierte Version seines “Windows-Tool zum Entfernen bösartiger Software” bereit. Das Programm erkennt und löscht eine Auswahl gängiger Malware, die sich im System eingenistet hat.

Anwender sollten vor allem die kritischen Updates schnellstmöglich installieren, falls sie nicht ohnehin die automatische Aktualisierung unter Windows nutzen. Die Patches können direkt über die jeweiligen Bulletins oder Microsoft Update beziehungsweise Windows Update bezogen werden.

Mit dem Start von Windows 10 könnte Microsoft auf die üblichen Patchdays verzichten. Denn mit dem kommenden, plattformübergreifenden Betriebssystem verfolgt es auch eine neue Update-Strategie, die es vergangene Woche auf der Konferenz Ignite in Chicago vorgestellt hat.

[mit Material von Björn Greif, ZDNet.de]

Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.