Gestern um genau 19:00 Uhr hat Microsoft bei seinem letzten Patchday für dieses Jahr, insgesamt 7 Sicherheitspakete für seine Produkte ausgerollt. Insgesamt wurden 24 Sicherheitslücken in den eigenen Produkten geschlossen. Davon wurden drei Patches als „kritisch“ und vier als „wichtig“ eingestuft. Betroffen sind der Internet Explorer 6 bis 11, Windows Server 2003 bis 2008R2, alle aktuellen Client Betriebssysteme und diverse Officeprodukte.
Als kritisch eingestufte Sicherheitslücken:
Alleine im Internet Explorer wurden wieder 14 zum Teil als kritisch angesehene Sicherheitslücken geschlossen, wobei das erhoffte Patch zur Schließung der Zero-Day Lücke (CVE-2014-8967) im Internet Explorer leider im Dezember-Bulletin nicht aufgelistet und demnach nicht geschlossen wurde. Bis Microsoft hier endlich handelt, sollten Sie entweder einen alternativen Browser verwenden, bzw. die Einstellungen im Internet Explorer härten!
Eine kritische Sicherheitslücke in Office wurde geschlossen, die es erlaubt diversen Schadcode aus der Ferne zu starten. Weiterhin wurden vier als kritisch angesehene Schwachstellen im Microsoft Exchange Server geschlossen. Betroffen sind die Exchange-Versionen 2007, 2010 und 2013 und ermöglichten die Manipulation der Rechteverwaltung.
Weiterführende Informationen bietet Microsoft auf Microsoft Security Bulletin>>
- MS14-075
Sicherheitsanfälligkeiten in Microsoft Exchange Server können Rechteerweiterungen ermöglichen (3009712) - MS14-080
Kumulatives Sicherheitsupdate für Internet Explorer (3008923)
- MS14-081
Sicherheitsanfälligkeiten in Microsoft Word und Office Web Apps können Remotecodeausführung ermöglichen (3017301) - MS14-082
Sicherheitsanfälligkeit in Microsoft Office kann Remotecodeausführung ermöglichen (3017349) - MS14-083
Sicherheitsanfälligkeit in Microsoft Office kann Remotecodeausführung ermöglichen (3017349) - MS14-084
Sicherheitsanfälligkeit im VBScript-Skriptmodul kann Remotecodeausführung ermöglichen (3016711) - MS14-085
Sicherheitsanfälligkeit in Microsoft Graphics-Komponente kann Offenlegung von Informationen ermöglichen (3013126)
Tipp: Aufgrund der schwerwiegenden Sicherheitslücken sollten Sie umgehend den Rechner, bzw, das Serversystem aktualisieren und die von Microsoft bereitgestellten Updates installieren. Die monatlichen Updates von Microsoft werden in der Regel automatisch vom Betriebssystem installiert, sofern die automatische Update-Funktion aktiviert ist und eine Internetverbindung besteht. Manuell können Sie einzelne Patches über die Microsoft Security Bulletins beziehen. Darüber hinaus ist es wichtig, auch die installierte Software auf dem Betriebssystem aktuell zu halten. Dabei kann Ihnen der kostenfreie CSIS Heimdal behilflich sein.
Neue Versionen:
Microsoft hat zudem neue Versionen zum Tool zum Entfernen bösartiger Software und dem Toolkit Enhanced Mitigation Experience (EMET) bereitgestellt.