Microsoft hat heute sieben Sicherheitsupdates veröffentlicht, von denen drei als "kritisch" und vier als "wichtig“ eingestuft werden. Die Bulletins beheben insgesamt 24 Schwachstellen in Microsoft Windows, Internet Explorer, Office und Exchange.
Außerdem wurden zwei Sicherheitsbulletins erneut veröffentlicht:
Darüber hinaus wurde noch die Sicherheitsempfehlung 2755801 (Update für Adobe Flash in Internet Explorer) aktualisiert, um die von Adobe geschlossenen Lücken im Flash Player zu adressieren. Weitere Informationen hierzu im Adobe Bulletin APSB14-27.
Microsoft wird am kommenden Dienstag sieben Sicherheitsupdates veröffentlichen, von denen drei als "kritisch" und vier als "wichtig“ eingestuft werden. Die Bulletins beheben Schwachstellen in Microsoft Windows, Internet Explorer, Office und Exchange.
Alle Details zu den Sicherheitsupdates werden kommenden Dienstag, den 11. Dezember, um 19.00 Uhr MEZ veröffentlicht.
Microsoft hat heute mit MS14-068 ein Update außerhalb des üblichen Zyklus veröffentlicht. Das Update behebt eine vertraulich an Microsoft gemeldete Schwachstelle im Microsoft Windows Kerberos KDC (Key Distribution Center). Durch Missbrauch der Lücke kann ein Angreifer ein herkömmliches Nutzerkonto unerlaubt zu einem Domain-Admin-Konto hochstufen. Anschließend kann der Angreifer jeden Rechner in der Domäne, inklusive der Domain Controller, unter seine Kontrolle bringen.
Hierzu muss der Angreifer Zugriff haben auf ein gültiges Konto. Die betroffene Komponente ist auch von außen zu erreichen für normale Domain-Nutzerkonten, es sei denn, es handelt sich um ausschließlich lokal verwendbare Konten. Zum Zeitpunkt der Veröffentlichung dieses Bulletins sind Microsoft vereinzelte, gezielte Attacken auf die jetzt geschlossene Lücke bekannt. Entsprechend dringend sollten sich IT-Profis daran machen, das Update zu testen und in ihren Umgebungen zu verteilen.
Das Bulletin wird als „kritisch“ eingestuft für alle derzeit unterstützten Versionen von Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 und Windows Server 2012 R2. Für alle übrigen Windows-Versionen (Windows Vista, Windows 7, Windows 8 und Windows 8.1) wird das Update ohne Einstufung zur Verfügung gestellt, um für zusätzliche Sicherheit (Defense in Depth) zu sorgen. Die betroffene Komponente ist jedoch nicht Teil dieser Windows-Versionen.
[Update]Weitere Details zur Schwachstelle finden sich in einem Blog-Beitrag der US-Kollegen.
Microsoft hat heute 14 Sicherheitsupdates veröffentlicht, von denen vier als "kritisch", acht als "wichtig“ und zwei als "moderat" eingestuft werden. Die Bulletins beheben insgesamt 33 Schwachstellen in Microsoft Windows, Internet Explorer, Office, Share Point, .NET Framework, Internet Information Services (IIS), Remote Desktop Protocol (RDP), Active Directory Federation Services (ADFS), Input Method Editor (IME) (Japanese) und Kernel Mode Driver (KMD).
Ursprünglich wurden letzte Woche 16 Sicherheitsupdates angekündigt. Zwei der ursprünglich geplanten Bulletins (MS14-068 und MS14-075) werden nach wie vor getestet und daher nicht veröffentlicht. Wann diese Updates bereit gestellt werden, ist derzeit noch nicht bekannt.
Zudem wurde noch die Sicherheitsempfehlung 2755801 (Update für Adobe Flash in Internet Explorer) aktualisiert, um die von Adobe geschlossenen Lücken im Flash Player zu adressieren. Weitere Informationen hierzu im Adobe Bulletin APSB14-24.
Außerdem weitet Microsoft ab sofort das Blockieren von veralteten Silverlight-Versionen im Internet Explorer aus. Die aufgefrischte Funktion warnt den Anwender, wenn eine Website ein Silverlight ActiveX-Control laden will, das älter ist als Version 5.1.30514.0 von Silverlight (die genannte Version wird nicht blockiert).
Weitere Informationen hierzu von den US-Kollegen:
Microsoft wird am kommenden Dienstag 16 Sicherheitsupdates veröffentlichen, von denen fünf als "kritisch", neun als "wichtig“ und zwei als "moderat" eingestuft werden. Die Bulletins beheben Schwachstellen in Microsoft Windows, Internet Explorer, Office, Exchange, .NET Framework, Internet Information Services (IIS), Remote Desktop Protocol (RDP), Active Directory Federation Services (ADFS), Input Method Editor (IME) (Japanese) und Kernel Mode Driver (KMD).
Alle Details zu den Sicherheitsupdates werden kommenden Dienstag, den 11. November, um 19.00 Uhr MEZ veröffentlicht.
Microsoft hat heute acht Sicherheitsupdates veröffentlicht, von denen drei als "kritisch" und fünf als "wichtig“ eingestuft werden. Die Bulletins beheben insgesamt 23 Schwachstellen in Microsoft Windows, Internet Explorer, Office, .NET Framework, und ASP.NET.
Das als „wichtig“ eingestufte Update MS14-060 schließt die Lücke, über die in den Medien um Rahmen der Berichterstattung zur „Sandworm-Attacke“ berichtet wurde. Entdeckt wurde die Schwachstelle in iSightPartners, die in einem Blogbeitrag weitere Details zur Attacke liefern.
Außerdem hat Microsoft noch zwei Sicherheitshinweise veröffentlicht: Der Hinweis 2949927 sagt, dass der SHA-2-Algorithmus ab sofort auch für Windows 7 und Windows Server 2008 R2 zum Signieren und Verifizieren von Dateien bereit steht. Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT Windows RT 8.1 benötigen das Update nicht, da sie von Haus aus mit der Funktion ausgeliefert werden. Der Sicherheitshinweis 2977292 bezieht sich auf die Implementierungen von EAP (Extensible Authentication Protocol ) unter Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012 und Windows RT, die ab sofort Transport Layer Security (TLS) 1.1 oder 1.2 durch Änderungen an der Registry verwenden.
Zudem wurde noch die Sicherheitsempfehlung 2755801 (Update für Adobe Flash in Internet Explorer) aktualisiert, um die von Adobe geschlossenen Lücken im Flash Player zu adressieren. Weitere Informationen hierzu im Adobe Bulletin APSB14-22.
Wie gewohnt geben US-Mitarbeiter von Microsoft am Mittwoch, 15. Oktober ab 20.00 Uhr in einem Webcast weitere Informationen zu den Updates bekannt. Für den Webcast ist keine Registrierung notwendig und auch die Installation des Live Meeting-Clients entfällt. Weitere Informationen zum Webcast finden sich auf der Webcast-Übersichtsseite.
Microsoft wird am kommenden Dienstag neun Sicherheitsupdates veröffentlichen, von denen drei als "kritisch", fünf als "wichtig“ und eines als "moderat" eingestuft werden. Die Bulletins beheben Schwachstellen in Microsoft Windows, Internet Explorer, Office, .NET Framework, und ASP.NET.
Alle Details zu den Sicherheitsupdates werden kommenden Dienstag, den 14. Oktober, um 19.00 Uhr MEZ veröffentlicht. Wie gewohnt geben US-Mitarbeiter von Microsoft am Mittwoch, 15. Oktober ab 20.00 Uhr in einem Webcast weitere Informationen zu den Updates bekannt. Für den Webcast ist keine Registrierung mehr notwendig und auch die Installation des Live Meeting-Clients entfällt. Weitere Informationen zum Webcast finden sich auf der Webcast-Übersichtsseite.
Microsoft hat heute vier Sicherheitsupdates veröffentlicht, von denen eines als "kritisch" und drei als "wichtig“ eingestuft werden. Die Bulletins beheben insgesamt 42 Schwachstellen in Microsoft Windows, Internet Explorer, .NET Framework und Lync Server.
Das kritische Update MS14-052 betrifft Internet Explorer und schließt 37 Sicherheitslücken. Es sollte mit höchster Priorität getestet und installiert werden. Die mit den August-Bulletins eingeführte Funktion, veraltete Active-X-Controls zu blockieren, wird durch das aktuelle Update nun aktiviert. Administratoren, die die Einstellungen durch Gruppenrichtlinien kontrollieren wollen, finden fertige Templates zum Download.
Außerdem wurden drei vorhandene Sicherheitsempfehlungen überarbeitet: Zum einen die Empfehlung 2871997, die sich jetzt auch auf Windows 7 und Windows Server 2008 R2 erstreckt. Außerdem die Empfehlung 2905247, die jetzt auch per Windows Update angeboten wird und nicht mehr nur über das Download Center. Wer das Update bereits installiert hat, muss nicht mehr aktiv werden. Zudem wurde noch die Sicherheitsempfehlung 2755801 (Update für Adobe Flash in Internet Explorer) aktualisiert, um die von Adobe geschlossenen Lücken im Flash Player zu adressieren. Weitere Informationen hierzu im Adobe Bulletin APSB14-21.
Wie gewohnt geben US-Mitarbeiter von Microsoft am Mittwoch, 10. September ab 20.00 Uhr in einem Webcast weitere Informationen zu den Updates bekannt. Für den Webcast ist keine Registrierung mehr notwendig und auch die Installation des Live Meeting-Clients entfällt. Weitere Informationen zum Webcast finden sich auf der Webcast-Übersichtsseite.
Microsoft wird am kommenden Dienstag vier Sicherheitsupdates veröffentlichen, von denen eines als "kritisch" und drei als "wichtig“ eingestuft werden. Die Bulletins beheben Schwachstellen Microsoft Windows, Internet Explorer, .NET Framework und Lync.
Alle Details zu den Sicherheitsupdates werden kommenden Dienstag, den 09. September, um 19.00 Uhr MEZ veröffentlicht. Wie gewohnt geben US-Mitarbeiter von Microsoft am Mittwoch, 10. September ab 20.00 Uhr in einem Webcast weitere Informationen zu den Updates bekannt. Für den Webcast ist keine Registrierung mehr notwendig und auch die Installation des Live Meeting-Clients entfällt. Weitere Informationen zum Webcast finden sich auf der Webcast-Übersichtsseite.
Microsoft hat heute neun Sicherheitsupdates veröffentlicht, von denen zwei als "kritisch" und sieben als "wichtig“ eingestuft werden. Die Bulletins beheben Schwachstellen in SQL Server, SharePoint, OneNote, .NET, Microsoft Windows und Internet Explorer.
Zudem wurde noch die Sicherheitsempfehlung 2755801 (Update für Adobe Flash in Internet Explorer) aktualisiert, um die von Adobe geschlossenen Lücken im Flash Player zu adressieren. Weitere Informationen hierzu im Adobe Bulletin APSB14-18.
Darüber hinaus hat Microsoft noch eine Änderung am Exploitability Index vorgenommen, die zur besseren Charakterisierung des Risikos für Kunden am Tag der Veröffentlichung des Updates dient: Kunden finden jetzt geänderte Formulierungen bei der Bewertung, darunter eine neue Einstufung von „0“ für „Missbrauch festgestellt“.
Wie gewohnt geben US-Mitarbeiter von Microsoft am Mittwoch, 13. August ab 20.00 Uhr in einem Webcast weitere Informationen zu den Updates bekannt. Für den Webcast ist keine Registrierung mehr notwendig und auch die Installation des Live Meeting-Clients entfällt. Weitere Informationen zum Webcast finden sich auf der Webcast-Übersichtsseite.
Microsoft wird am kommenden Dienstag neun Sicherheitsupdates veröffentlichen, von denen zwei als "kritisch" und sieben als "wichtig“ eingestuft werden. Die Bulletins beheben Schwachstellen in SQL Server, SharePoint, OneNote, .NET, Microsoft Windows und Internet Explorer.
Alle Details zu den Sicherheitsupdates werden kommenden Dienstag, den 12. August, um 19.00 Uhr MEZ veröffentlicht. Wie gewohnt geben US-Mitarbeiter von Microsoft am Mittwoch, 13. August ab 20.00 Uhr in einem Webcast weitere Informationen zu den Updates bekannt. Für den Webcast ist keine Registrierung mehr notwendig und auch die Installation des Live Meeting-Clients entfällt. Weitere Informationen zum Webcast finden sich auf der Webcast-Übersichtsseite.
Microsoft hat heute sechs Sicherheitsupdates veröffentlicht, von denen zwei als "kritisch", drei als "wichtig“ und eines als "moderat" eingestuft werden. Die Bulletins beheben insgesamt 29 Schwachstellen in Windows und dem Internet Explorer.
Alle Updates sollten sobald als möglich installiert werden, wenngleich die beiden als kritisch bewerteten Bulletins MS14-038 (Windows Journal) und MS14-037 (Internet Explorer) mit hoher Priorität getestet und installiert werden sollten. Auf Versionen von Windows Server ist Windows Journal ab Werk nicht installiert, so dass hier keine Gefahr droht, wenn die Anwendung nicht von Hand nachinstalliert wurde.
Keine der jetzt durch die Updates geschlossenen Sicherheitslücken wird nach unseren Informationen derzeit von Kriminellen für Angriffe missbraucht. Dennoch sollten die Updates rasch installiert werden, da es in aller Regel nicht lange dauert, bis entsprechende Exploits in Exploit Kits auftauchen.
Zudem wurde noch die Sicherheitsempfehlung 2755801 (Update für Adobe Flash in Internet Explorer) aktualisiert, um die von Adobe geschlossenen Lücken im Flash Player zu adressieren. Weitere Informationen hierzu im Adobe Bulletin APSB14-17.
Wer künftig Informationen über die neuen Sicherheitsbulletins noch gezielter erhalten möchte, der sollte sich unseren neuen Dienst namens myBulletins näher anschauen. Weitere Informationen hierzu in einem Blogbeitrag.
Mit den Juli-Bulletins starten wir auch die neue Form des Webcasts, in dem es weitere Details zu den Updates gibt. Ab sofort ist keine Registrierung mehr notwendig und auch die Installation des Live Meeting-Clients entfällt. Weitere Informationen zum Webcast, der am Mittwoch, den 09. Juli 2014 um 20.00 Uhr beginnt, finden sich auf der Webcast-Übersichtsseite.
Microsoft wird am kommenden Dienstag sechs Sicherheitsupdates veröffentlichen, von denen zwei als "kritisch", drei als "wichtig“ und eines als "moderat" eingestuft werden. Die Bulletins beheben Schwachstellen in Windows und dem Internet Explorer.
Microsoft hat heute sieben Sicherheitsupdates veröffentlicht, von denen zwei als "kritisch" und fünf als "wichtig“ eingestuft werden. Die Bulletins beheben insgesamt 66 Schwachstellen in Microsoft Word, Office und Internet Explorer. Das Update für Internet Explorer (MS14-035) behandelt insgesamt 59 Schwachstellen, darunter die in CVE-2014-1770 beschriebenen Lücke. Nach unseren Informationen nach wird noch keine der geschlossenen Lücken im Internet Explorer durch Angreifer missbraucht. 57 der Sicherheitslücken wurden Microsoft im Vertrauen gemeldet, so dass hinreichend Zeit bleib, um ohne Druck ein Update zu entwickeln.
Dennoch sollten Anwender das Update umgehend installieren, da Kriminelle jederzeit Angriffe auf Basis der jetzt behobenen Probleme konzipieren können. Ebenfalls mit hoher Dringlichkeit sollten Anwender das Bulletin MS14-034 installieren.
Zudem wurde noch die Sicherheitsempfehlung 2755801 (Update für Adobe Flash in Internet Explorer) aktualisiert, um die von Adobe geschlossenen Lücken im Flash Player zu adressieren. Weitere Informationen hierzu im Adobe Bulletin APSB14-16.
Im Rahmen der Mai-Bulletins haben wir den Sicherheitshinweis 2871997 veröffentlicht; er verbessert das Management von Anmeldedaten für Windows 7, Windows 8, Windows Server 2008 R2 und Windows Server 2012. Wir haben seither einige Fragen zu den Änderungen durch diesen Sicherheitshinweis bekommen. Meine US-Kollegen haben daher im Security Research & Defense (SRD)-Blog einen Beitrag veröffentlicht, der einen Überblick über die Änderungen liefert, deren Auswirkungen beschreibt und weitere wichtige Konfigurationsänderungen beschreibt.
Am Mittwoch, den 11. Juni liefert ein Webcast um 20.00 Uhr MEZ weitere Antworten rund um die Bulletins. Der Webcast ist anschließend „on demand“ verfügbar.
Microsoft wird am kommenden Dienstag sieben Sicherheitsupdates veröffentlichen, von denen zwei als "kritisch" und fünf als "wichtig“ eingestuft werden. Die Bulletins beheben Schwachstellen in Microsoft Word, Office und Internet Explorer. Das Update für Internet Explorer behandelt die in CVE-2014-1770 beschriebenen Lücke, die unseren Informationen nach noch nicht aktiv durch Angreifer missbraucht wird.
Alle Details zu den Updates gibt es am kommenden Dienstag, den 10. Juni. Am Mittwoch, den 11. Juni liefert ein Webcast um 20.00 Uhr MEZ weitere Antworten rund um die Bulletins. Der Webcast ist anschließend „on demand“ verfügbar.
Microsoft hat heute acht Sicherheitsupdates veröffentlicht, von denen zwei als "kritisch" und sechs als "wichtig“ eingestuft werden. Insgesamt schließen die Bulletins 13 Sicherheitslücken in .NET Framework, Office, Internet Explorer, SharePoint und Windows.
Mit hoher Priorität getestet und installiert werden sollten die Bulletins MS14-024 (Microsoft Common Control, Office), MS14-025 (Einstellungen der Gruppenrichtlinien, Windows) und MS14-029 (Internet Explorer). Die von den Updates behobenen Schwachstellen werden bereits vereinzelt für Angriffe aktiv missbraucht. Wichtig: MS14-029 ist kein kumulatives Update für den Internet Explorer. Um den Browser wirksam zu schützen, muss zuvor MS14-018 installiert werden.
Die Bulletins in diesem Monat bringen keine Updates mehr für Windows XP oder Office 2003. Die Supportzeiträume dieser Produkte sind Anfang April ausgelaufen und Microsoft rät allen Kunden, die noch auf diese Produkte setzen, dringend zum Update auf moderne Produktvarianten.
Neben den Bulletins hat Microsoft noch vier Sicherheitshinweise veröffentlicht: Sicherheitshinweis 2871997 bringt ein Update für Windows 8 und Windows Server 2012 das den Schutz der Anmeldedaten und Kontrollmechanismen zur Domain-Authentifizierung verbessert. Microsoft arbeitet derzeit daran, diese Verbesserungen auch für andere Betriebssysteme neben Windows 8.1 und Server 2012 R2 bereit zu stellen.
Das Update für .NET Framework aus dem Sicherheitshinweis 2960358 schaltet Rivest Cipher 4 (RC4) in Transport Layer Security (TLS) ab. Dieses Vorgehen ist sehr ähnlich zum Sicherheitshinweis 2868725 aus dem November 2013, wobei sich der aktuelle Hinweis speziell auf .NET Framework bezieht. Der außerdem veröffentlichte Sicherheitshinweis 2962824 zieht die Signatur für ein spezielles UEFI (Unified Extensible Firmware Interface)-Modul zurück. Microsoft sind derzeit zwar keine negativen Auswirkungen für Kunden bekannt, die auf dieses Modul zurück gehen. Wir ziehen die Signatur aus Gründen der Vorsicht zurück. Kunden, deren Systeme nicht mit UEFI Secure Boot arbeiten oder auf denen diese Funktion abgeschaltet ist, müssen keine weiteren Schritte ergreifen.
Zudem wurde noch die Sicherheitsempfehlung 2755801 (Update für Adobe Flash in Internet Explorer) aktualisiert, um die von Adobe geschlossenen Lücken im Flash Player zu adressieren. Weitere Informationen hierzu im Adobe Bulletin APSB14-14.
Am Mittwoch, den 14. Mai liefert ein Webcast um 20.00 Uhr MEZ weitere Antworten rund um die Bulletins. Der Webcast ist anschließend „on demand“ verfügbar.
Microsoft wird am kommenden Dienstag acht Sicherheitsupdates veröffentlichen, von denen zwei als "kritisch" und sechs als "wichtig“ eingestuft werden. Die Bulletins beheben Schwachstellen in .NET Framework, Office, Internet Explorer und Windows.
Alle Details zu den Updates gibt es am kommenden Dienstag, den 13. Mai. Am Mittwoch, den 14. Mai liefert ein Webcast um 20.00 Uhr MEZ weitere Antworten rund um die Bulletins. Der Webcast ist anschließend „on demand“ verfügbar.
Microsoft hat heute mit MS14-021 ein Update außerhalb des monatlichen Prozesses für Sicherheitsbulletins veröffentlicht (Out-of-Band Release). Das als mit „kritisch“ bewertete Update (Ausnahme: für Windows Server gilt die Einstufung "moderat") schließt die im Sicherheitshinweis 2963983 beschriebene Schwachstelle in allen Versionen des Internet Explorers (Versionen 6 bis einschließlich 11).
An der bereits vor einigen Tagen beschriebenen Bedrohungslage hat sich nichts geändert: Microsoft sind lediglich vereinzelte, gezielte Angriffe bekannt, die die jetzt geschlossene Lücke missbrauchen. Dennoch sollten Anwender das Update umgehend installieren.
Obwohl Microsoft die Versorgung mit Sicherheitsupdates für Windows XP vor wenigen Wochen eingestellt hat, gibt es auch ein Update für dieses Betriebssystem. Wir raten allen Kunden, die nach wie vor auf Windows XP setzen, dennoch dringend zum Umstieg auf eine moderne Windows-Variante wie Windows 7 oder Windows 8.1.
Anwender, die die Funktion zur automatischen Installation von Sicherheitsbulletins über Windows Update verwenden, müssen nichts weiter tun. Wer Updates manuell installiert, sollte dies im betreffenden Fall umgehend tun.
Die US-Kollegen beantworten am 02. Mai um 20.00 Uhr (MEZ) in einem Webcast fragen zum neuen Update. Die Registrierung für den Webcast findet sich hier.
Microsoft hat heute den Sicherheitshinweis 2963983 veröffentlicht aufgrund einer Schwachstelle in Internet Explorer (Versionen Internet Explorer 6 bis einschließlich 11). Derzeit liegen Microsoft Informationen über vereinzelte, gezielte Angriffe vor, die diese Lücke missbrauchen. Weitflächige Attacken sind nicht bekannt. Bei einem erfolgreichen Angriff kann es zum Ausführen von beliebigem Code aus der Ferne auf dem PC des Opfers kommen (Remote Code Execution). Typischerweise kommt es hierzu, wenn der Angreifer das Opfer auf eine bösartig manipulierte Webseite locken kann, indem er es zum Klick auf einen Link in einer E-Mail oder per Instant Messenger versandten Nachricht verleitet.
[Update] Der Abschnitt "Suggested Actions" ("Vorgeschlagene Schritte") im Sicherheitshinweis wurde aktualisiert und präzisiert. Microsoft empfiehlt allen Anwendern, die IE10 oder IE11 auf einem x64-basierten Windows-7 oder Windows-8-Rechner beziehungsweise Windows RT nutzen, den Erweiterten Geschützten Modus zu aktivieren. In der Modern UI ist er bereits aktiv, wer mit der Desktop-Version arbeitet, findet die Einstellung unter Internetoptionen / Erweitert. [/Update]. Zudem bietet das Enhanced Mitigation Experience Toolkit (EMET) 4.1 und die EMET 5.0 Technical Preview Schutz vor den derzeitig beobachteten Attacken; dies gilt auch für Windows XP. Darüber hinaus rät Microsoft dazu, die grundlegenden Schutzmechanismen wie Firewall, Installation aller Softwareupdates sowie Antiviren-Software einzusetzen. Zudem warnen wir davor, auf Links in E-Mail oder anderen Nachrichten zu klicken oder E-Mails von unbekannten Absendern zu öffnen. Weitere Details finden sich im Sicherheitshinweis.
Nach Abschluss der derzeit laufenden Analyse wird Microsoft über die nächsten Schritte entscheiden. Dies kann beispielsweise ein Update im rahmen der monatlichen Sicherheitsbulletins sein oder auch ein Update außer der Reihe (Out of band).
Microsoft hat heute vier Sicherheitsupdates veröffentlicht, von denen zwei als "kritisch" und zwei als "wichtig“ eingestuft werden. Die Bulletins beheben insgesamt elf Schwachstellen in Office, Windows und Internet Explorer. Mit hoher Priorität behandelt werden sollten die Bulletins MS14-017 (Word) und MS14-018 (Internet Explorer)
MS14-017 schließt die kürzlich beschriebene Schwachstelle in Microsoft Word völlig. Microsoft sind vereinzelte, gezielte Attacken bekannt, die die Schwachstelle missbrauchen in Word 2010 missbrauchen. Das Update schließt die Lücke in allen Word-Versionen. Nutzer, die das im Sicherheitshinweis beschriebene Fix it installiert haben, sollten dieses nach Installation des Updates wieder abschalten. Andernfalls können auch weiterhin keine RTF-Dokumente in Word geöffnet werden.
Im Zusammenhang mit MS14-018 gibt es eine Besonderheit beim Internet Explorer 11 auf Windows 8.1 und Windows Server 2012 R2: Das Bulletin behebt die beschriebene Schwachstelle, bringt aber sonst keine Änderungen mit. Gleichzeitig hat Microsoft den Sicherheitshinweis 2919355 veröffentlicht. Zu ihm gehört ein Update, dass sowohl die sechs Schwachstellen im Browser schließt, als auch die Funktionalität der Software erweitert (bessere Hardware-Unterstützung, bessere Kompatibilität und so weiter).
Für Windows 7 und Windows Server 2008 R2 gibt es ein eigenes kumulatives Update im Sicherheitshinweis 2929437. Anwender, die sich für das jeweilige kumulative Update entscheiden, müssen MS14-018 nicht zusätzlich installieren.
Zudem wurde noch die Sicherheitsempfehlung 2755801 (Update für Adobe Flash in Internet Explorer) aktualisiert, um die von Adobe geschlossenen Lücken im Flash Player zu adressieren. Weitere Informationen hierzu im Adobe Bulletin APSB14-08.
Im Rahmen der April-Bulletins hat Microsoft letztmalig Sicherheitsupdates für Windows XP (MS14-018 und MS14-019) und Office 2003 (MS14-017 und MS14-020) veröffentlicht. Anwender, die diese Software noch einsetzen, sollten auf eine aktuelle Version umsteigen. Details zum Wechsel und zu den Gefahren, denen sich Windows XP alsbald gegenüber sehen dürfte, in einem Blogbeitrag.
Am Mittwoch, den 09. April liefert ein Webcast um 20.00 Uhr MEZ weitere Antworten rund um die Bulletins. Der Webcast ist anschließend „on demand“ verfügbar.
Microsoft wird am kommenden Dienstag vier Sicherheitsupdates veröffentlichen, von denen zwei als "kritisch" und zwei als "wichtig“ eingestuft werden. Die Bulletins beheben Schwachstellen in Office, Windows und Internet Explorer.
Das Bulletin MS14-017 schließt die kürzlich beschriebene Schwachstelle in Microsoft Word völlig. Microsoft sind vereinzelte, gezielte Attacken bekannt, die die Schwachstelle missbrauchen in Word 2010 missbrauchen. Das kommende Update schließt die Lücke in allen Word-Versionen. Nutzer, die das im Sicherheitshinweis beschriebene Fix it installiert haben, sollten dieses nach Installation des Updates wieder abschalten. Andernfalls können auch weiterhin keine RTF-Dokumente in Word geöffnet werden.
Nächsten Dienstag wird Microsoft letztmalig Sicherheitsupdates für Windows XP und Office 2003 veröffentlichen. Anwender, die diese Software noch einsetzen, sollten auf eine aktuelle Version umsteigen. Details zum Wechsel und zu den Gefahren, denen sich Windows XP alsbald gegenüber sehen dürfte, in einem Blogbeitrag.
Alle Details zu den Updates gibt es am kommenden Dienstag, den 08. April. Am Mittwoch, den 09. März liefert ein Webcast um 20.00 Uhr MEZ weitere Antworten rund um die Bulletins. Der Webcast ist anschließend „on demand“ verfügbar.
Microsoft hat heute den Sicherheitshinweis 2953095 veröffentlicht. Er behandelt eine vertraulich gemeldete Schwachstelle in allen derzeit unterstützten Versionen von Microsoft Word (Word 2003 bis Word 2013), inklusive der Versionen Word 2013 RT und auch der Mac-Version. Microsoft sind derzeit vereinzelte, gezielte Attacken auf Anwender von Word 2010 bekannt, die diese Schwachstelle missbrauchen.
Um sofortigen Schutz vor Angriffen zu bieten, stellt Microsoft ein Fix it bereit. Das Fix it verhindert, dass RTF-Dateien in Word geöffnet werden können. Die Schwachstelle findet sich im Programmcode von Word, der zur Anzeige von Rich-Text-Format (RTF)-Dokumenten zuständig ist. Bis ein vollwertiges Security Bulletin die Lücke ganz schließt, empfehlen wir allen Nutzern von Word, vorerst die Installation des Fix it.
Die Schwachstelle lässt sich auch missbrauchen, wenn ein Anwender bösartig modifizierten RTF-Inhalt in Outlook öffnet. Daher empfehlen wir, vorerst alle E-Mails nur als reinen Text anzeigen zu lassen. Die für Outlook 2013 notwendigen Schritte beispielsweise sind in einem Hilfedokument beschrieben, die Schritte für Outlook 2003 und 2007 in einem Knowledge-Base-Eintrag.
Auch der Einsatz von Microsoft EMET (Enhanced Mitigation Toolkit) erschwert den Missbrauch der Schwachstelle. Details zur Konfiguration von EMET finden sich im Sicherheitshinweis.
Microsoft hat heute fünf Sicherheitsupdates veröffentlicht, von denen zwei als "kritisch" und drei als "wichtig“ eingestuft werden. Die Bulletins beheben insgesamt 23 Schwachstellen in Windows, Internet Explorer und Silverlight.
Das Bulletin MS14-012 schließt die kürzlich beschriebene Schwachstelle in Internet Explorer 10 völlig und darüber hinaus noch 17 im Vertrauen an Microsoft gemeldete Schwachstellen. Microsoft sind vereinzelte, gezielte Attacken bekannt, die die Schwachstelle missbrauchen. Nutzer anderer Versionen des Internet Explorer als der Version 10 sind von der Lücke nicht betroffen. Wer den IE10 nutzt, sollte dieses Update mit höchster Priorität behandeln.
MS14-014 schließt eine Lücke, die das Umgehen einer Sicherheitsfunktion in Silverlight verhindert. Das Problem wurde nicht öffentlich bekannt und daher gibt es derzeit keine aktiven Angriffe auf die Schwachstelle. Würde die Lücke nicht geschlossen, könnte ein Angreifer die Speicherschutztechnik ASLR umgehen. Angreifer müssen sich nach erfolgtem Update daher neue Wege suchen, um ihren Code verlässlich aus der Ferne ausführen zu können.
Am Mittwoch, den 12. März liefert ein Webcast um 19.00 Uhr MEZ weitere Antworten rund um die Bulletins. Der Webcast ist anschließend „on demand“ verfügbar.
Microsoft wird am kommenden Dienstag fünf Sicherheitsupdates veröffentlichen, von denen zwei als "kritisch" und drei als "wichtig“ eingestuft werden. Die Bulletins beheben Schwachstellen in Windows, Internet Explorer und Silverlight.
Das Bulletin MS14-012 schließt die kürzlich beschriebene Schwachstelle in Internet Explorer 10 völlig. Microsoft sind vereinzelte, gezielte Attacken bekannt, die die Schwachstelle missbrauchen. Nutzer anderer Versionen des Internet Explorer als der Version 10 sind von der Lücke nicht betroffen.
Alle Details zu den Updates gibt es am kommenden Dienstag, den 11. März. Am Mittwoch, den 12. März liefert ein Webcast um 20.00 Uhr MEZ weitere Antworten rund um die Bulletins. Der Webcast ist anschließend „on demand“ verfügbar.
Microsoft hat den Sicherheitshinweis 2934088 veröffentlicht. Er bringt ein Fix it für eine Schwachstelle in Internet Explorer 9 and 10. Die Versionen Internet Explorer 6, 7, 8 und 11 sind nicht betroffen. Microsoft sind derzeit vereinzelte, gezielte Attacken bekannt, die die Lücke missbrauchen. Hierzu genügt es, wenn ein Anwender mit dem Browser auf eine bösartig modifizierte Webseite besucht, auf die er beispielsweise per Link in einer E-Mail-Nachricht gelockt wurde. Dann kann es durch Missbrauch der Schwachstelle zu einem Ausführen von Code aus der Ferne (Remote Code Execution) kommen.
Das nutzerfreundliche Fix it steht für alle Kunden zum Download bereit und wehrt die derzeit bekannten Attacken ab. Einschränkungen beim Surfen im Web sollte es dadurch nicht geben. Die Installation des Fix it erfordert keinen Neustart. Wir raten allen Nutzern des Internet Explorer 9 oder 10 dringend, das Fix it zu installieren. Ein Beitrag im Security Research and Defense-Blog der US-Kollegen liefert weitere technische Details zur Schwachstelle und wie das Fix it dagegen schützt.
Nachdem Internet Explorer 11 die Sicherheitslücke nicht enthält, ist ein Upgrade auf diese Version ebenfalls ein wirksamer Schutz.
Microsoft arbeitet derzeit an einem Sicherheitsupdate, um sich der Schwachstelle noch besser annehmen zu können. Das Update kann im Rahmen der monatlichen Sicherheitsbulletins oder auch außer der Reihe veröffentlicht werden. Wir beobachten die Bedrohungslage weiterhin aufmerksam und werden zum Schutz unserer Kunden geeignete Maßnahmen ergreifen.