13.03.2013, 09:08
Hans-Christian Dirscherl [h=2]Patch-Day[/h] [h=1]Microsoft stopft kritische Sicherheitslücken in Windows, IE, Office[/h] 
Microsoft Patch-Day im März 2013 ©istockphoto.com/pagadesign
Microsoft hat zum Patchday im März sieben Sicherheits-Bulletins veröffentlicht. Vier davon schließen Lücken, die als „kritisch“ eingestuft werden, weil sie es Angreifern ermöglichen, ihren Code auf fremden Rechnern auszuführen beziehungsweise die Benutzerrechte unerlaubt zu erhöhen. Betroffen sind unter anderem Windows, der Internet Explorer und Office. Eine als „hoch“ klassifizierte Sicherheitslücke betrifft dagegen nur Mac-Nutzer.
Der Microsoft-Patchday im März 2013 umfasste diese Sicherheits-Bulletins (Hinweis: Das Microsoft-Tool zum Entfernen bösartiger Software hat Microsoft ebenfalls aktualisiert):
MS13-021: Kumulatives Sicherheitsupdate für Internet Explorer (2809289)
Dieses Sicherheitsupdate behebt acht vertraulich gemeldete Sicherheitsanfälligkeiten und eine öffentlich gemeldete Sicherheitsanfälligkeit in Internet Explorer. Die schwerwiegendsten Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite mit Internet Explorer anzeigt. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
Einstufung: Kritisch, Remotecodeausführung
Betroffen: Windows XP bis Windows 8 inklusive der Serverversionen, Internet Explorer 6 bis 10 (also auch die aktuelle Version!)
MS13-022: Sicherheitsanfälligkeit in Silverlight kann Remotecodeausführung ermöglichen (2814124)
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Silverlight. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Angreifer eine Website mit einer speziell gestalteten Silverlight-Anwendung hostet, mit der diese Sicherheitsanfälligkeit ausgenutzt werden kann, und dann einen Benutzer zum Anzeigen der Website verleitet. Der Angreifer kann auch beeinträchtigte Websites und Websites nutzen, die von Benutzern bereitgestellte Inhalte oder Anzeigen akzeptieren oder hosten. Solche Websites können speziell gestaltete Inhalte enthalten, mit denen diese Sicherheitsanfälligkeit ausgenutzt werden kann. Ein Angreifer kann Benutzer jedoch nicht zum Besuch einer solchen Website zwingen. Er muss den Benutzer zum Besuch einer Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken. Es besteht ebenfalls die Möglichkeit, speziell gestalteten Webinhalt mithilfe von Bannerwerbungen anzuzeigen oder Webinhalt auf andere Weise an betroffene Systeme zu übermitteln.
Einstufung: Kritisch, Remotecodeausführung
Betroffen: Silverlight 5 auf Windows- und Macrechnern sowie Servern
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Office. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Visio-Datei öffnet. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte erlangen wie der aktuelle Benutzer. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.
Einstufung: Kritisch, Remotecodeausführung
Betroffen: Microsoft Office mit Visio 2010
Dieses Sicherheitsupdate behebt vier vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft SharePoint und Microsoft SharePoint Foundation. Die schwerwiegendsten dieser Sicherheitsanfälligkeiten können die Erhöhung von Berechtigungen ermöglichen, wenn ein Benutzer auf eine speziell gestaltete URL klickt, die den Benutzer zu der betroffenen SharePoint-Website führt.
Einstufung: Kritisch, Erhöhung von Berechtigungen
Betroffen: Microsoft Office, Microsoft Server Software, SharePoint Server 2010
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft OneNote. Die Sicherheitsanfälligkeit kann die Offenlegung von Informationen ermöglichen, wenn ein Angreifer einen Benutzer dazu verleitet, eine speziell gestaltete OneNote-Datei zu öffnen.
Einstufung: Hoch, Offenlegung von Informationen
Betroffen: Microsoft Office mit OneNote 2010
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Office für Mac. Die Sicherheitsanfälligkeit kann eine Offenlegung von Informationen ermöglichen, wenn ein Benutzer eine speziell gestaltete E-Mail-Nachricht öffnet.
Einstufung: Hoch, Offenlegung von Informationen
Betroffen: Microsoft Office 2008 und 2011 für Mac(!)
Dieses Sicherheitsupdate behebt drei vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft Windows. Diese Sicherheitsanfälligkeiten können eine Erhöhung von Berechtigungen ermöglichen, wenn ein Angreifer Zugang zu einem System erhält.
Einstufung: Hoch, Erhöhung von Berechtigungen
Betroffen: Windows XP bis Windows 8 inklusive Server
Wie gehabt müssen Windows-Endanwender nicht aktiv werden, weil die für ihr System erforderlichen Patches automatisch installiert werden. Danach ist in der Regel ein Windows-Neustart erforderlich.
Cu
Verbogener