Microsoft schliesst 20 Sicherheitslücken

Bereits seit Oktober 2003 besteht der Microsoft Patch-Day als reguläre Einrichtung. An diesem Tag veröffentlicht der Softwarehersteller eine Auflistung entdeckter Sicherheitsrisiken inklusive der Lösungen. Der feste Monatszyklus der gemeldeten Schwachstellen ermöglicht den IT-Verantwortlichen ihre Systeme in einem festen Rhythmus auf den aktuellen Sicherheitsstand zu bringen. Am aktuellen März-2013-Patch-Day veröffentlicht Microsoft sieben Sicherheits-Bulletins. Insgesamt schliessen die Updates 20 Sicherheitslücken, so schliesst das kumulative Update für den Internet Explorer gleich acht Lücken. Bei den Schwachstellen im Internet Explorer, kann beispielsweise der Aufruf einer modifizierten Webseite ausreichen, um beliebigen Code aus der Ferne auf dem Rechner des Opfers auszuführen.

Von den insgesamt sieben Sicherheitsupdates sind vier als «kritisch» und drei als «wichtig» eingestuft. Es sind nahezu alle Windows-Versionen betroffen, als da wären: Windows XP (SP3), Windows Vista, Windows 7 ebenso wie Windows 8 und RT. Beim den Server-Ausgaben gilt dies für: Windows Server 2003, Server 2008, Server 2008 R2 und auch Windows Server 2012. Dies beinhaltet auch den Internet Explorer und zwar von der Version 6 bis hin zur neuen Version 10. Darüber hinaus schliessen die Updates Lücken in Microsoft Visio 2010 (SP1) sowie dem Visio Viewer. Ebenfalls betroffen ist Microsoft Silverlight und zwar sowohl Windows- wie auch Mac-Installationen. In Sachen Server-Software ist diesmal der SharePoint Server 2010 von einer kritischen Lücke betroffen. Drei dieser Lücken konnten bisher dazu genutzt werden, mit einem präparierten USB-Stick Zugriff auf einen fremden Computer zu erhalten, berichtet Golem.de,. Es reichte dabei, wenn der Stick eingestöpselt wurde, ein Nutzer musste nicht angemeldet sein und am Computer selbst musste nichts gemacht werden. Jede angebliche «Putzfrau», die ihren abendlichen Rundgang vorgespielt hätte, hätte sich also am Computer zu schaffen machen können. Dies ist übrigens eine Lücke, welche Microsoft als «nicht besonders gefährlich» einstuft, da kein Angriff aus der Ferne möglich war. 

Die durch die Updates geschlossenen Lücken können bei Missbrauch die Risiken des Ausführens von beliebigem Code aus der Ferne (Remote Code Execution) und Rechteerhöhung (Elevation of Privilege) ermöglichen. Darüber hinaus verursachen die Lücken Informationslecks (Information Disclosure). Zum Patch-Day kommt auch in Regelmässigkeit ein neues Anti-Malware-Tool zum Entfernen bösartiger Software, das nun in der Version 4.18 zur Verfügung steht.