Zum Microsoft Patchday stehen im Oktober 2012 sieben Sicherheitsupdates auf dem Plan. Eines davon gilt als kritisch und schließt zwei Sicherheitslücken in verschiedenen Word-Komponenten von Microsoft Office. Die übrigen sechs Patches stuft Microsoft als wichtig ein.
Zwei Sicherheitsanfälligkeiten in Microsoft Office sollen mit dem Security Bulletin MS12-064 der Vergangenheit angehören. Eine der Schwachstellen ermöglicht es im schlimmsten Fall, Code von außen auf einem betroffenen System auszuführen (Remote Code Execution).
Der Angreifer kann auf diesem Weg an die Rechte des aktuell angemeldeten Benutzers gelangen. Hierfür muss der Anwender ein speziell angepasstes Dokument im Rich-Text-Format (RTF) öffnen oder in der Vorschau anzeigen.
Als kritisch gilt diese Lücke im Falle der 32- und 64-Bit-Versionen von Microsoft Office 2010 Service Pack 1 (SP1) sowie unter Office 2007 SP2 und SP3. Ein immerhin hohes Risiko besteht bei Office 2003 SP3, dem Microsoft Word Viewer sowie dem Office-Kompatibilitätspaket mit SP2 und SP3.
Anzeige
Mit dem Microsoft Sharepoint Server 2010 SP1 und den Office Web Apps 2010 SP1 sind auch zwei Server-Lösungen des Herstellers betroffen. Sowohl Mac-Besitzer als auch Nutzer von Microsoft Works 9 haben hingegen nichts zu befürchten.
Weitere Updates für Sharepoint-Server
Works-Anwender müssen dafür allerdings das Sicherheitsupdate MS12-065 einspielen, das eine ähnliche Remote-Code-Execution.Schwachstelle schließt. In diesem Falle kann jedoch jedes Word-Dokument als Angriffsbasis dienen. Allerdings stuft Microsoft auch diese Sicherheitslücke „nur“ als wichtig ein.
Weitere Anfälligkeiten in Sharepoint schließt Microsoft auch mit den Security Bulletins MS12-066 und MS12-067. Das erste dieser Updates betrifft auch Unternehmen, die Microsoft Infopath, die Kommunikationsplattform Lync, den Groove Server oder die Office Web Apps nutzen.
Die Sicherheitsaktualisierung MS12-068 behebt eine Schwachstelle im Windows-Kernel. Offenbar sind bis auf Windows 8 und Server 2012 alle unterstützten Windows-Versionen anfällig. Auch den Netzwerkdienst Kerberos in Microsofts Server-Lösungen plagt eine Sicherheitslücke, Abhilfe soll der Microsoft-Patch MS12-069 schaffen.
Die letzte Anfälligkeit ermöglicht Cross-Site-Scripting-Attacken auf verschiedenste Versionen des Microsoft SQL Server. Allerdings müssen in diesem Fall die SQL Server Reporting Services aktiviert sein. Um die Sicherheitslücke auszunutzen, könnte der Angreifer einen Nutzer der anfälligen Webseite dazu bringen, einen manipulierten Link anzuklicken. Mit dem Security Bulletin MS12-070 will Microsoft das Problem beheben.
+49 (0)6324