Microsoft und Adobe beheben kritische Lecks

Wie angekündigt hat Microsoft ein Update bereitgestellt, das zwei als “kritisch” eingestufte Schwachstellen in Word 2003, 2007 und 2010 beseitigt.

Die Anfälligkeit steckt auch in Word Viewer und Office Compatibility Pack sowie in den Word-Automatisierungsdiensten unter SharePoint Server 2010 und Office Web Apps. Ein Angreifer könnte über eine manipulierte RTF-Datei (Rich Text Format), die geöffnet oder in der Vorschau angezeigt wird, Schadcode einschleusen und mit den Rechten des angemeldeten Benutzers ausführen.

Darüber hinaus stopft Microsoft im Oktober noch weitere 18 Sicherheitslöcher, deren Risiko das Unternehmen mit “hoch” bewertet. 13 Lücken finden sich alleine in FAST Search Server 2010 für SharePoint. Allerdings handele es sich hier um Fehler in Oracles Outside-In-Bibliothek.

Weitere Patches stehen für Works, InfoPath 2007 und 2010, Lync 2010, SharePoint Server 2007 und 2010, Groove Server 2010, Office Web Apps 2010 sowie SQL Server 2000 Reporting Services, SQL Server 2005, 2008, 2008 R2 und 2012 zur Verfügung. Sicherheitsanfälligkeiten in Kerberos und im Windows-Kernel ermöglichen zudem Denial-of-Service-Angriffe beziehungsweise eine unautorisierte Ausweitung von Nutzerrechten. Davon sind unter anderem Nutzer von Windows XP, Server 2003, Vista, Server 2008, 7 und Server 2008 R2 betroffen.

Seit gestern Abend verteilt Microsoft über Windows Update auch eine im August angekündigte Aktualisierung, die die für Windows-Zertifikate benötigte RSA-Schlüssellänge auf mindestens 1024 Bit erhöht. Damit soll die Sicherheit von Zertifikaten verstärkt werden.

Schon am Montag hatte Adobe ein Sicherheitsupdate für Flash Player bereitgestellt. Die neue Version 11.4.402.287 für Windows und Mac OS X schließt insgesamt 25 Sicherheitslücken, die das Unternehmen als “kritisch” einstuft. Auch Flash 11.2 für Linux sowie Flash 10.3 für Windows, Mac OS X und Linux und Flash 11.1 für Android wurden aktualisiert.

Nutzern des Google-Browsers steht die neue Flash-Version nach der Installation von Chrome 22.0.1229.92 für Windows, Mac OS X und Linux zur Verfügung. Das Update behebt zudem mehrere sicherheitsrelevante Fehler. Darunter ist eine “kritische” Lücke, die es einem Angreifer erlaubt, Schadcode außerhalb der Chrome-Sandbox auszuführen. Den Versionshinweisen zufolge tritt das Problem beim Umgang mit Audio-Geräten auf. Dem Entdecker der Lücke, Atte Kettunen von der University of Oulu in Finnland, zahlt Google dafür eine Belohnung von 3133,70 Dollar.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

[mit Material von Stefan Beiersmann, ZDNet.de]