Sicherheit
Microsoft schließt Lücken in Windows und Office
von
Thorsten
Eggeling - 19.11.2012
Zum Patch-Day im November hat Microsoft 19 teils kritische Sicherheitslücken in seinen Produkten geschlossen. Nutzer sollten die Sicherheitsupdates zu ihrem eigenen Schutz zeitnah installieren.
Microsoft hat mit den November-Updates insgesamt 19 Sicherheitslücken in Windows XP, Windows Vista, Windows 7, Windows 8, Internet Explorer 9, Microsoft .NET Framework und Microsoft Office geschlossen. Hier erhalten Sie einen kurzen Überblick über die einzelnen Sicherheits-Updates:
MS12-071 ist ein kumulatives Sicherheitsupdate für Windows und den Internet Explorer. Es schließt kritische Sicherheitslücken, über die ein Angreifer Benutzerrechte erlangen und Schadcode (Remotecode) in das System einschleusen kann. Dazu muss ein Nutzer eine speziell gestaltete Webseite mit dem Internet Explorer aufrufen.
Das Sicherheitsupdate MS12-072 beschreibt zwei kritische Sicherheitslücken in der Windows Shell, über die entfernte Angreifer sich die Rechte des Nutzer erschleichen und beliebigen Schadcode einschleusen können. Dazu muss ein Nutzer im Windows Explorer einen speziell gestalteten "Aktenkoffer" ("Briefcase") durchsuchen.
MS12-074 beschreibt fünf kritische Sicherheitslücken in Windows und dem .NET Framework. Die schwerwiegendste Lücke erlaubt ebenfalls die Ausführung von Schadcode. wenn ein Angreifer sein Opfer dazu verleitet, eine schädliche Proxy-Autokonfigurationsdatei zu verwenden.
MS12-075 zeigt drei Sicherheitsanfälligkeiten in Windows-Kernelmodustreibern und wurde ebenfalls als kritisch eingestuft. Sie erlauben Angreifern die Ausführung von Remotecode, wenn ein Benutzer ein speziell gestaltetes Dokument öffnet, Links auf einer präparierten Webseite anklickt oder Links in E-Mails aufruft. In den Dokumenten beziehungsweise Webseiten. Die Sicherheitslücken lässt sich dann über eingebettete TrueType-Schriftartdateien ausnutzen.
Bei MS12-076 handelt es sich um vier Sicherheitslücken in Microsoft Office mit hohem Risiko. Sie ermöglichen Angreifern Benutzerrechte zu erlangen und Remotecode auszuführen, wenn der Nutzer eine speziell gestaltete Excel-Datei mit einer der betroffenen Excel-Versionen öffnet. Das Excel-Update betrifft die Versionen von Office 2003 bis 2010.
MS12-073 führt mittelschwere Sicherheitslücken in den Microsoft Internet-Informationsdiensten (IIS) auf, die eine Offenlegung von Information ermöglichen. Dazu muss ein Angreifer speziell gestaltete FTP-Befehle an den Server senden.
Darüber hinaus hat Microsoft eine aktualisierte Version des Microsoft Windows-Tools zum Entfernen bösartiger Software veröffentlicht.
Laut Microsoft wurden alle im November geschlossenen Lücken vertraulich gemeldet und bislang nicht aktiv ausgenutzt. Dennoch empfiehlt der Softwarehersteller seinen Kunden, die bereitgestellten Sicherheitsupdates zeitnah zu installieren. Dies geschieht am einfachsten über die automatische Updatefunktion. Alternativ können Sie die Updates auch über die Downloadseite herunterladen und manuell installieren. Download-Links befinden sich auch auf den Einzelseiten der Microsoft Security Bulletins. Diese sind vor allem für Administratoren gedacht, die mehrere Rechner auf einmal aktualisieren wollen.
Laut Microsoft wurden alle im November geschlossenen Lücken vertraulich gemeldet und bislang nicht aktiv ausgenutzt. Dennoch empfiehlt der Softwarehersteller seinen Kunden, die bereitgestellten Sicherheitsupdates zeitnah zu installieren. Dies geschieht am einfachsten über die automatische Updatefunktion. Alternativ können Sie die Updates auch über die Downloadseite herunterladen und manuell installieren. Download-Links befinden sich auch auf den Einzelseiten der Microsoft Security Bulletins. Diese sind vor allem für Administratoren gedacht, die mehrere Rechner auf einmal aktualisieren wollen.
