Microsoft Security Bulletin Summary für November 2013

Neue Software, Treiber oder BIOS-Versionen findet ihr hier
[ News about software, drivers and bios can be found here ]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34991
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Microsoft Security Bulletin Summary für November 2013

Beitrag von doelf » 12 Nov 2013, 21:02

Microsoft hat am heutigen Abend acht Sicherheits-Updates veröffentlicht, die zusammen 19 Sicherheitslücken schließen. Drei der Patches stuft Microsoft als kritisch ein und die übrigen fünf kümmern sich um Schwachstellen mit einem hohen Gefahrenpotential.

Alleine zehn Sicherheitslücken stecken im Internet Explorer, davon sind acht Fehler kritischer Natur - sie erlauben das Einschleusen von Schadsoftware. Betroffen sind die Versionen 6 bis 11 sowie Windows XP bis 8.1. Bei Server 2003 bis 2012 R2 stuft Microsoft das Risiko lediglich als "hoch" ein. Zwei weitere kritische Schwachstellen, über die Schadcode auf das System gelangen kann, betreffen WordPad und das ActiveX-Control InformationCardSigninHelper. WordPad stolpert in allen Windows-Versionen (auch die Server) über manipulierte Write-Dateien, während das ActiveX-Control schon seit einigen Tagen über bösartige Webseiten angegriffen wird. Microsoft hat inzwischen bestätigt, dass es sich hierbei um die von FireEye Labs gemeldete 0-Day-Lücke handelt.

Auch in Microsoft Office stecken drei Schwachstellen, über die Angreifer Schadcode platzieren können. Betroffen sind die Versionen 2003, 2007, 2010 und 2013. Microsoft bewertet diese Schwachstellen jedoch nicht als kritisch, sondern stuft sie nur in die Gefahrenkategorie "hoch" ein. Gleiches gilt für eine Rechteausweitung durch einen Hypercall von einer virtuellen Maschine und einen DoS-Angriff über ein manipuliertes X.509-Zertifikat. Die beiden verbleibenden Schwachstellen geben Informationen preis, sie stecken in den 64-Bit-Versionen von Windows XP bis 8 und Server 2003 bis 2012 bzw. in Outlook 2007, 2010 und 2013.

Die kritische 0-Day-Lücke in Office 2003, 2007 und 2010 sowie Lync 2010 und 2013 hat Microsoft noch nicht geschlossen, sie betrifft ausschließlich Windows Vista und Server 2008. Seit Anfang November greifen Kriminelle diese Schwachstelle mit Hilfe von E-Mails an, denen eine Word-Datei anhängt. Eine manipulierte Bilddatei des Typs TIFF (Tagged Image File Format), welche in das Word-Dokument eingebettet ist, sorgt für einen Verarbeitungsfehler und palziert Schadcode im Speicher des Computers. Microsoft stellt bisher nur eine provisorische Lösung bereit, welche die Verarbeitung von TIFF-Dateien komplett unterbindet.

Quelle:
http://technet.microsoft.com/de-de/secu ... n/ms13-nov

Antworten