Mai-Patchday: Microsoft behebt Schwachstellen in IE und SharePoint Server

Insgesamt hat Microsoft acht Sicherheitsupdates am Mai-Patchday veröffentlicht. Die Fixes beheben 14 Schwachstellen. Kriminelle nutzen drei davon bereits aktiv aus. Der Softwarekonzern stuft zwei Lücken in Internet Explorer und drei in SharePoint Server als kritisch ein. Sie können verwendet werden, um Schadcode einzuschleusen und auszuführen.

Die Aktualisierung behebt zwei Speicherfehler in Internet Explorer 6, 7, 8, 9, 10 und 11. Microsoft hat nach eigenen Aussagen bereits zielgerichtete Angriffe auf eine der beiden Lücken registriert. Zwei Fehler in SharePoint Server 2007, 2010 und 2013 sowie den Office Web Apps, SharePoint Designer und SharePoint Server 2013 Client Components SDK können genutzt werden, um Remotecode auszuführen. Zudem steckt eine Cross-Site-Scripting-Lücke in den Programmen.

Dem Security Bulletin MS14-023 von Microsoft zufolge enthalten Office 2007, 2010, 2013 und 2013 RT zwei Schwachstellen von denen ein hohes Risiko ausgehen soll. Betroffen sind jedoch nur Anwender, die die Rechtschreibprüfung für vereinfachtes Chinesisch benutzen. Durch einen Fehler in .NET Framework 1.1 bis 4.5.1 ist es möglich Berechtigungen zu erhöhen.

Die übrigen vier Aktualisierungen korrigieren Fehler in Windows Vista, Server 2008, 7, Server 2008 R2, 8 und 8.1, Server 2012 und 2012 R2 und Windows RT und RT 8.1. Kriminelle könnten unter anderem ein mit den Gruppenrichtlinieneinstellungen gespeichertes Kennwort abrufen und entschlüsseln oder einen Denial-of-Service-Angriff gegen iSCSI ausführen. Zudem lässt sich die Sicherheitsfunktion Adress Space Layout Randomization (ASLR) durch eine Schwachstelle im Steuerelement MSCOMCTL umgehen.

Mit dem Mai-Patchday erhält erstmals Windows XP und Office 2003 keine Aktualisierung. Auch für SharePoint Portal Server 2003 stehen seit diesem Monat keine Updates mehr bereit. Höchstwahrscheinlich betrifft aber das Sicherheitsupdate für Internet Explorer auch Windows XP.

Wie jeden Monat verteilt Microsoft auch eine aktualisierte Version seines Windows-Tools zum Entfernen bösartiger Software. Sie kann, wie alle Patches, direkt über Windows Update oder die Microsoft-Website bezogen werden. Anwender sollten die Updates schnellstmöglich installieren.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.