Microsoft schließt 47 Sicherheitslücken in Windows, Office und IE

13 Sicherheitsupdates hat Microsoft an seinem September-Patchday veröffentlicht. 47 Schwachstellen sollen damit behoben werden. In SharePoint Server, Windows XP, Internet Explorer, Server 2003 und Outlook befinden sich kritische Lücken. Die weiteren neun Updates werden als “wichtig” eingestuft. Microsoft lieferte allerdings nicht den am vergangenen Donnerstag angekündigten Patch für .NET-Framework aus.

Eine besonders hohe Priorität hat das Update MS13-068 für Outlook 2007 und 2010 von Microsoft erhalten. Angreifer können durch einen Fehler in S/MIME-Nachrichtenzertifikaten Schadcode einschleusen und ausführen, wenn ein Anwender “eine Vorschau einer speziell gestalteten E-Mail-Nachricht anzeigt oder öffnet”. Während die Anfertigung von S/MIME-Zertifikaten an sich kein großes Problem darstellt, sei dahingehend die Manipulation eines Zertifikates zur Ausführung von Schadcode sehr aufwendig, schreibt Microsoft in einem Blog.

Zehn Lücken schließt Microsoft in Internet Explorer 6, 7, 8, 9 und 10. Besuchen Benutzer eine manipulierte Website, erlauben die Schwachstellen eine Remotecodeausführung. Weitere zehn Fehler beseitigt das Unternehmen in Share Point Server 2007, 2010 und 2013. Cyberkriminelle könnten speziell gestaltete Inhalte an betroffene Server senden, die die Eingaben nicht korrekt überprüft, was wiederrum zur Ausführung von Schadcode auf dem Server führen kann.

Über eine Schwachstelle in der Komponente OLE sind Windows XP und Server 2003 angreifbar. In allen unterstützten Windows-Versionen, Word 2003, 2007 und 2010, Excel 2003, 2007, 2010 und 2013, Access 2007, 2010 und 2013, Frontpage 2003 und Office für Mac 2011 beseitigt Microsoft ebenfalls Fehler.

Kurz nach der Veröffentlichung hat der Konzern ein nicht sicherheitsrelevantes Update für Outlook 2013 wieder zurückgezogen. Laut einem Eintrag im Office-Blog war bei einigen Anwendern die Ordnerleiste nach der Installation des Patches verschwunden. Eine Inkompatibilität zwischen den Dateien “Outlook.exe” und “mso.dll” soll der Grund dafür sein.

Auslöser der Inkompatibilität ist dadurch entstanden, dass Nutzer entweder nur das September-Update oder einen im August bereitgestellten kumulativen Patch installiert haben. Microsoft rät Betroffenen, den jeweiligen Patch (KB2817630 oder KB2817347) zu deinstallieren. In Kürze will Microsoft eine korrigierte Version des September Updates veröffentlichen. In keinem Zusammenhang steht das Problem mit dem Patch MS13-068.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de