Patchday bei Microsoft und Adobe

Der erste Patch von Microsoft (MS13-037) korrigiert elf Fehler in IE 6, 7, 8, 9 und 10, darunter eine während des Hackerwettbewerbs Pwn2Own aufgedeckte Schwachstelle. Der zweite Fix (MS13-038) schließt die kürzlich entdeckte Zero-Day-Lücke in IE8, die für Angriffe auf US-Forscher genutzt wurde, die unter anderem an der Entwicklung von Atomwaffen beteiligt sind.

Das zweite IE-Update steht allerdings auch für die Version 9 des Microsoft-Browsers zur Verfügung. Sie blockiere in der Standardkonfiguration zwar die im fraglichen Bulletin beschriebenen Angriffsmethoden, das Sicherheitsupdate sei aber eine zusätzliche “tief greifende Verteidigungsmaßnahme” für Internet Explorer 9, teilte Microsoft mit.

Insgesamt bringt der Mai-Patchday zehn Bulletins, die 33 Schwachstellen beschreiben. Die restlichen acht Updates beheben Anfälligkeiten, von denen nach Unternehmensangaben ein “hohes” Risiko ausgeht. Dazu zählt ein Fehler in der Datei “HTTP.sys”, der zu Denial-of-Service-Angriffen führen kann, eine Lücke in .NET Framework, die Spoofing erlaubt, und eine Anfälligkeit in den Kernelmodustreibern, die eine Erhöhung von Berechtigungen ermöglicht. Davon betroffen sind Nutzern von Windows XP, Server 2003, Vista, Server 2008, 7, Server 2008 R2, 8, Server 2012 und Windows RT.

Darüber hinaus stehen Updates für Lync Communicator 2007, Lync 2010, Lync Server 2013, Publisher 2003 bis 2010, Word 2003 und Word Viewer zur Verfügung. Sie sollen verhindern, dass Angreifer Schadcode in ein betroffenes System einschleusen und ausführen. Lücken in Visio 2003 und 2010 sowie Windows Essentials 2011 und 2012 (vormals Windows Live Essentials) könnten unter Umständen zur Offenlegung von Informationen führen. Microsoft weist darauf hin, dass für Windows Essentials 2011 kein Update verteilt wird. Das Unternehmen rät Betroffenen, auf die Version 2012 umzusteigen. Der eigentliche Fehler steckt allerdings nur in der Anwendung Writer.

Neben Microsoft bietet auch Adobe seit gestern Abend mehrere Patches für seine Produkte an. Das Unternehmen schließt unter anderem 13 als “kritisch” eingestufte Sicherheitslücken in Flash Player 11.7.700.169 für Windows und Mac OS X, Flash Player 11.2.202.280 für Linux sowie Flash Player 11.1.115.5x für Android. Ein Angreifer könnte einen Absturz der Anwendung auslösen und möglicherweise auch die Kontrolle über ein betroffenes System übernehmen.

Weitere 27 Anfälligkeiten bedrohen Nutzer von Adobe Reader und Acrobat XI (11.0.02) und X (10.1.6) für Windows und Mac OS X sowie Reader 9.5.4 für Linux. Sie lassen sich unter Umständen ebenfalls für eine Remotecodeausführung missbrauchen. In einem Blogeintrag macht das Unternehmen darauf aufmerksam, dass am 26. Juni der Support für Reader und Acrobat 9 ausläuft und es danach auch keine weiteren Sicherheitsupdates für diese Version gibt.

Es steht auch ein Fix für zwei Löcher in ColdFusion 10, 9.0.2, 9.0.1 und 9.0 für Windows Mac OS X und Unix zum Download bereit. Sie könnten es Unbefugten ermöglichen, aus der Ferne auf auf einem Server gespeicherte Dateien zuzugreifen. Eine der Lücken wird laut Adobe schon aktiv gegen Nutzer von ColdFusion eingesetzt.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de