Sicherheitsupdates Januar 2013
Microsoft hat heute sieben Sicherheitsupdates veröffentlicht, von denen zwei als "kritisch" und fünf als „wichtig“ eingestuft werden. Insgesamt werden zwölf Sicherheitslücken geschlossen. Die kritischen Bulletins beheben Schwachstellen in Microsoft Windows, Office, Developer Tools und Microsoft Server Software. Die fünf als „wichtig“ klassifizierten Bulletins schließen Lücken in Microsoft Windows, .NET Framework und Microsoft Server Software.
Die beiden als „kritisch“ eingestuften Bulletins sollten – wie üblich – dringend installiert werden, obwohl Microsoft derzeit keine Angriffe bekannt sind, die die geschlossenen Lücken missbrauchen. MS13-002 behebt zwei Sicherheitsanfälligkeiten in Microsoft XML Core Services (betroffen sind alle Versionen von MSXML). Wenn ein Benutzer eine bösartig manipulierte Webseite mit Internet Explorer anzeigt, kann es durch Missbrauch der Schwachstellen zu Remotecodeausführung kommen.
MS13-001 kann nur dann aus der Ferne missbraucht werden, wenn keine Firewall vorhanden beziehungsweise eine Firewall so konfiguriert wurde, dass sie Druckaufträge aus dem Internet an interne Clients zulässt. Außerdem muss zum erfolgreichen Missbrauch der geschlossenen Lücke druckerspezifische Software eines Drittherstellers, beispielsweise eine Anwendung zum Überwachen der Druckerwarteschlange, auf dem Client installiert sein.
Würden die geschlossenen Lücken erfolgreich missbraucht, wäre je nach Schwachstelle das Ausführen von beliebigen Code aus der Ferne (Remote Code Execution), Rechteerhöhung (Elevation of Privilege), das Umgehen einer Sicherheitsfunktion (Security Feature Bypass) oder ein Denial of Service (DoS) möglich.
Gleichzeitig mit den Sicherheitsbulletins wurde auch die Sicherheitsempfehlung 2755801 veröffentlicht. Das mit der Empfehlung verbundene Sicherheitsupdate behebt Schwächen in Adobe Flash Player. Flash Player ist fester Bestandteil von Internet Explorer 10 unter Windows 8. Kunden, die per Windows Update automatisch mit Sicherheitsupdates versorgt werden, müssen keine weiteren Schritte unternehmen, um auch dieses Update zu empfangen.
Am Mittwoch, den 09. Januar liefert ein Webcast um 20.00 Uhr MEZ alle wichtigen Details zu den Bulletins. Der Webcast ist anschließen „on demand“ verfügbar.