Microsoft hat mit dem März-Patchday kritische Lücken in Windows, Internet Explorer und Office behoben. Insgesamt 14 Sicherheitsupdates umfasst das Paket. Davon beheben fünf insgesamt 16 als kritisch eingestufte Lücken. Die Schwachstellen lassen sich ausnutzen, um die Kontrolle über ein betroffenes System zu erlangen. Dafür müssen Opfer nur auf eine manipulierte Website zugreifen.
Das kumulative Update für Internet Explorer 6, 7, 8, 9, 10 und 11 schließt eine Zero-Day-Lücke, die Anfang Februar gemeldet wurde und Phishing-Angriffe ermöglicht. Die Aktualisierung behebt ebenfalls Fehler in Windows Server 2003, Vista, Server 2008, 7, Server 2008 R2, 8 und 8.1, Server 2012 und 2012 R2 sowie RT und RT 8.1. Mit dem Office-Patch aktualisiert Microsoft Office 2007, 2010, 2013 und 2013 RT, Word Viewer und Excel Viewer, das Office Compatibility Pack sowie SharePoint Server 2007, 2010, 2013, SharePoint Server 2010 Service und 2013 Service und die Office Web Apps.
Freak-Lücke geschlossen
Für Windows stehen acht weitere Patches zur Verfügung. Microsoft stuft diese als wichtig ein. Auch die Freak-Lücke schließt der Softwarekonzern mit dem März-Patchday. Angreifer können diese ausnutzen, um verschlüsselten Datenverkehr abzufangen und zu entschlüsseln. Ende vergangener Woche hatte Microsoft vor der Schwachstelle gewarnt, die auch Apples iOS und OS X betrifft. Der iPhone-Hersteller hat diese ebenfalls behoben.
Mehrere Sicherheitslücken in den Kernelmodustreibern ermöglichen Microsoft zufolge eine Erhöhung von Berechtigungen. Eine weitere Schwachstelle bei der Verarbeitung von PNG-Dateien kann zur Offenlegung von Informationen führen. Außerdem soll es nach Installation der Updates nicht mehr möglich sein, die Funktion Netlogon für Spoofing oder den Taskplaner zur Umgehung von Sicherheitsfunktionen zu benutzen. Ein Patch soll darüber hinaus Denial-of-Service-Angriffe über das Remotedesktopprotokoll verhindern.
Auch Flash Player gepatcht
Schließlich hat Microsoft auch noch ein Loch in Exchange Server 2013 gestopft. Ein speziell gestalteter Link zu einer Outlook-Web-App-Website könnte eine Erhöhung von Benutzerrechten zur Folge haben. Ein Angreifer müsste einen Nutzer lediglich dazu bringen, auf seinen solchen Link zu klicken.
Für Nutzer des Internet Explorer 11 steht außerdem ein Update für den integrierten Flash Player zur Verfügung. Details zu den Änderungen oder beseitigten Fehlern hat Adobe noch keine Einzelheiten genannt. Ein von Google gestern bereitgestelltes Update für den Browser Chrome, der ebenfalls ab Werk das Flash-Plug-in enthält, erhöht die Versionsnummer des Flash Player jedoch von 16.0.0.305 auf 17.0.0.134.
Der Flash-Player ist am Ende. Zum Glück, denn er ist ein Einfallstor für Trojaner und Hacker, und mit HTML5 gibt es einen passenden Ersatz. Doch ein Leben ganz ohne Adobe? Ohne Reader? Ohne Photoshop? Es ist möglich – mit Programmen, die dazu noch kostenlos sind.
Darüber hinaus hat Microsoft auch zahlreiche nicht sicherheitsrelevante Updates veröffentlicht. Für Windows 8.1 stehen alleine 16 zusätzliche Korrekturen zur Verfügung, die nicht näher genannte Fehler beheben sollen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.