Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Patchday: Microsoft schließt 19 Windows-Sicherheitslücken

Sieben Sicherheitslücken in Microsofts Office-Paket beseitigt. Für diesen Monat hatte sich Microsoft am Patchday viel vorgenommen. Wie angekündigt wurden insgesamt 26 Sicherheitslücken in seinen Produkten geschlossen. Es gibt 13 Patches, wovon elf auf die Windows-Plattform entfallen und zwei Patches Fehler in Microsofts Office-Software beseitigen.
/ Ingo Pakalski
15 Kommentare News folgen (öffnet im neuen Fenster)

In Windows 2000, XP und Windows Server 2003 befindet sich eine Sicherheitslücke in der Windows-Shell, die sich über eine Webseite ausnutzen lässt. Dann kann ein Angreifer auf einem fremden System beliebigen Code ausführen, wenn das Opfer eine entsprechend manipulierte Webseite geöffnet hat. Mit einem Patch(öffnet im neuen Fenster) will Microsoft den Fehler beseitigen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Teamleiter*in Digitale Technologien Campact e.V., Berlin (öffnet im neuen Fenster)
IT-Architekt/in (w/m/d) mit Schwerpunkt Data Engineering IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Software Engineer (m/w/d) - Backend PROBAT SE, Emmerich (öffnet im neuen Fenster)
Digital Experience Reviewer (m/w/d) SERVIZIO GmbH, Wächtersbach (öffnet im neuen Fenster)
Marketing Platform Manager (w|m|d) - Google Marketing Platform ADAC SE, München (öffnet im neuen Fenster)
Wissenschaftliche Mitarbeit (Künstliche Intelligenz/Data Science) im Bereich kriminaltechnische Biometrie (DNA-Analytik) (w/m/d) Bundeskriminalamt, Wiesbaden (öffnet im neuen Fenster)
Senior Investigator Forensic Services (m/w/d) Schwarz Corporate Solutions, Neckarsulm (öffnet im neuen Fenster)
Wirtschaftsinformatiker als Referent der Organisationsentiwcklung (m/w/d) Handwerkskammer Rheinhessen, Mainz (öffnet im neuen Fenster)

Mit einem weiteren Patch(öffnet im neuen Fenster) deaktiviert Microsoft einige ActiveX-Controls in allen Windows-Versionen, über die sich Schadcode auf fremde Systeme einschleusen lässt. Für Angriffe wird eine präparierte Webseite bereitgestellt, auf die das Opfer gelockt wird.

Gefährliches Sicherheitsloch in Directshow

Ebenfalls alle Windows-Fassungen sind von einem gefährlichen Sicherheitsloch in Directshow betroffen. Das Öffnen einer speziell bearbeiteten Avi-Datei genügt, damit ein Angreifer schadhaften Programmcode auf dem System ausführen kann. Der Fehler wird durch einen Patch(öffnet im neuen Fenster) für alle Windows-Ausführungen korrigiert.

Ein Patch für den SMB-Client(öffnet im neuen Fenster) für die Windows-Plattform korrigiert zwei Sicherheitslücken, über die Angreifer beliebigen Programmcode ausführen können. Ein Opfer muss nur vom Angreifer dazu verleitet werden, Verbindung mit einem entsprechend präparierten SMB-Server aufzunehmen, dann lassen sich die beiden Sicherheitslücken ausnutzen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Ebenfalls in allen Windows-Ausführungen wurden vier Sicherheitslücken gefunden, die im SMB-Server stecken. Hier lässt sich nur ein Sicherheitsloch zur Codeausführung missbrauchen. Ansonsten gibt es zwei Möglichkeiten, Denial-of-Service-Attacken auszuführen oder sich mehr Rechte zu verschaffen. Mit einem Patch für die Windows-Plattform(öffnet im neuen Fenster) sollen die Fehler der Vergangenheit angehören. Dabei wird das seit November 2009 bekannte SMB-Sicherheitsloch immer noch nicht beseitigt.

Zudem wurde in Microsofts Paint ein gefährliches Sicherheitsloch entdeckt, das zur Ausführung von Schadcode genutzt werden kann. Ein Angreifer muss sein Opfer nur dazu bewegen, mit Paint eine jpeg-Datei zu öffnen. Einen Patch(öffnet im neuen Fenster) zur Fehlerbeseitigung gibt es für Windows 2000, XP sowie Windows Server 2003. Andere Windows-Versionen sind davon nicht betroffen.

Microsoft schließt Sicherheitslöcher im Windows-Kernel

Das Sicherheitsloch im Windows-Kernel vom Januar 2010 beseitigt Microsoft nun zusammen mit einem weiteren Fehler im Windows-Kernel. Der Patch(öffnet im neuen Fenster) verhindert, dass Angreifer sich weiterhin erhöhte Rechte verschaffen können.

Vier weitere Sicherheitslücken betreffen die TCP/IP-Komponenten von Windows Vista und Windows Server 2008 und sollen mit einem Patch(öffnet im neuen Fenster) beseitigt werden. Drei der Sicherheitslöcher können zum Ausführen von Schadcode missbraucht werden, ein Fehler lässt sich für Denial-of-Service-Attacken verwenden.

Eine weitere Denial-of-Service-Attacke betrifft nur Windows Server 2008 und wird durch ein Sicherheitsloch in Hyper-V verursacht. Dafür muss der Angreifer am System angemeldet sein, Angriffe aus der Ferne sind damit nicht möglich. Microsoft hat nun einen Patch(öffnet im neuen Fenster) dafür veröffentlicht.

Auch ein Sicherheitsloch in Windows 2000, XP und Windows Server 2003 lässt sich nur lokal ausnutzen. Das Sicherheitsleck kann zur Ausweitung von Nutzerrechten missbraucht werden und soll mit dem bereitgestellten Patch(öffnet im neuen Fenster) beseitigt werden.

Zudem hat Microsoft einen Patch(öffnet im neuen Fenster) für die Windows-Komponente Kerberus veröffentlicht, mit der ein Sicherheitsloch in Windows 2000, Windows Server 2003 sowie 2008 beseitigt wird, das für Denial-of-Service-Angriffe verwendet werden kann.

Sieben Sicherheitslöcher in Microsofts Office-Paket

Mit einem Patch(öffnet im neuen Fenster) für Microsofts Office XP und Office 2004 für Mac wird ein Sicherheitsloch beseitigt, das zur Ausführung von Schadcode missbraucht werden kann. Ein Opfer muss lediglich dazu verleitet werden, eine präparierte Office-Datei mit den anfälligen Applikationen zu öffnen.

Ein weiterer Patch(öffnet im neuen Fenster) für Microsofts Office-Paket beseitigt sechs Sicherheitslücken in Powerpoint. Alle Fehler in Powerpoint lassen sich für das Ausführen von Programmcode missbrauchen. Die Fehler betreffen Office XP, 2003 sowie Office 2004 für Mac.

Kein Patch für den Internet Explorer

Entgegen Microsofts Ankündigung gibt es für das im Februar 2010 bekanntgewordene Sicherheitsloch im Internet Explorer noch keinen Patch.

Zur Startseite 15 Kommentare

Relevante Themen

SoftwareToolsBetriebssystemeSecuritySicherheitslückeUpdates & PatchesDatensicherheitPatchday