Sicherheitsbulletins Mai 2014
Microsoft hat heute acht Sicherheitsupdates veröffentlicht, von denen zwei als "kritisch" und sechs als "wichtig“ eingestuft werden. Insgesamt schließen die Bulletins 13 Sicherheitslücken in .NET Framework, Office, Internet Explorer, SharePoint und Windows.
Mit hoher Priorität getestet und installiert werden sollten die Bulletins MS14-024 (Microsoft Common Control, Office), MS14-025 (Einstellungen der Gruppenrichtlinien, Windows) und MS14-029 (Internet Explorer). Die von den Updates behobenen Schwachstellen werden bereits vereinzelt für Angriffe aktiv missbraucht. Wichtig: MS14-029 ist kein kumulatives Update für den Internet Explorer. Um den Browser wirksam zu schützen, muss zuvor MS14-018 installiert werden.
Die Bulletins in diesem Monat bringen keine Updates mehr für Windows XP oder Office 2003. Die Supportzeiträume dieser Produkte sind Anfang April ausgelaufen und Microsoft rät allen Kunden, die noch auf diese Produkte setzen, dringend zum Update auf moderne Produktvarianten.
Neben den Bulletins hat Microsoft noch vier Sicherheitshinweise veröffentlicht: Sicherheitshinweis 2871997 bringt ein Update für Windows 8 und Windows Server 2012 das den Schutz der Anmeldedaten und Kontrollmechanismen zur Domain-Authentifizierung verbessert. Microsoft arbeitet derzeit daran, diese Verbesserungen auch für andere Betriebssysteme neben Windows 8.1 und Server 2012 R2 bereit zu stellen.
Das Update für .NET Framework aus dem Sicherheitshinweis 2960358 schaltet Rivest Cipher 4 (RC4) in Transport Layer Security (TLS) ab. Dieses Vorgehen ist sehr ähnlich zum Sicherheitshinweis 2868725 aus dem November 2013, wobei sich der aktuelle Hinweis speziell auf .NET Framework bezieht. Der außerdem veröffentlichte Sicherheitshinweis 2962824 zieht die Signatur für ein spezielles UEFI (Unified Extensible Firmware Interface)-Modul zurück. Microsoft sind derzeit zwar keine negativen Auswirkungen für Kunden bekannt, die auf dieses Modul zurück gehen. Wir ziehen die Signatur aus Gründen der Vorsicht zurück. Kunden, deren Systeme nicht mit UEFI Secure Boot arbeiten oder auf denen diese Funktion abgeschaltet ist, müssen keine weiteren Schritte ergreifen.
Zudem wurde noch die Sicherheitsempfehlung 2755801 (Update für Adobe Flash in Internet Explorer) aktualisiert, um die von Adobe geschlossenen Lücken im Flash Player zu adressieren. Weitere Informationen hierzu im Adobe Bulletin APSB14-14.
Am Mittwoch, den 14. Mai liefert ein Webcast um 20.00 Uhr MEZ weitere Antworten rund um die Bulletins. Der Webcast ist anschließend „on demand“ verfügbar.