September-Patchday bei Microsoft

Wie an jeden zweiten Dienstag im Monat steht der sogenannte Patchday bei Microsoft ganz in Zeichen der Sicherheit. Microsoft hat auch diesmal wieder diverse Sicherheitsupdates für seine Produkte herausgebracht. Insgesamt bietet die Microsoft Security Bulletin Summary fünf Bulletins, die die geschlossenen Sicherheitslücken in Windows und Microsoft Office beschreiben. Mit den Updates werden insgesamt 15 geschlossen, die Microsoft teilweise als „hoch“ einstuft.

Ein Patch verhindert eine weitere Variante des Binary Plantings beziehungsweise DLL-Hijackings. Bisherige Updates konnten nicht verhindern, dass Windows unter bestimmten Voraussetzungen trotzdem DLLs von Netzfreigaben nachlädt. Mit präparierten DLLs kann somit ein Angreifer seinen Code auf einem Rechner ausführen. Das unsichere Laden von DLLs ist ein Problem, mit dem sich Microsoft bereits seit Mitte 2010 mit zahlreichen Patches auseinandersetzt.

Auch eine Sicherheitslücke in WINS wurde geschlossen. Damit konnten Angreifer sich höhere Rechte auf einem System zu erschwindeln.

Außerdem schließen die Updates zwei Lücken in Office und fünf in Excel. Die Sicherheitslücken in Excel betreffen auch die Mac-Versionen. Sie können von Angreifern zur Ausführung von Schadcode ausgenutzt werden. Dazu muss dem Opfer nur eine entsprechend manipulierte Excel-Datei geschickt werden. Wer nur den Excel-Viewer benutzt, ist nicht ausreichend geschützt. Auch dieses Programm benötigt ein Sicherheitsupdate.

Fünf weitere Schwachstellen wurden in SharePoint beseitigt. Damit konnten Anwender unrechtmäßig ihre Zugriffsrechte auf einem System ausweiten.