Patch-Day: 7 Bulletins von Microsoft im Dezember

Microsoft Patch Day, Windows Logo, Pflaster Bildquelle: PC Games
Den zweiten Dienstag im Monat nimmt sich Microsoft in bekannte Manier zum Anlass und veranstaltet den Patch-Day. Diesbezüglich wird wieder eine Reihe von Updates für eigene Produkte zur Verfügung gestellt. Microsoft hat sich im Monat Dezember an die in der vergangenen Woche veröffentlichte Vorabankündigung gehalten und unter dem Strich sieben Bulletins zum Download freigegeben. Damit werden unter anderem fünf kritische Schwachstellen in unterschiedlichen Produkten von Microsoft geschlossen.

Um die heute veröffentlichten Sicherheitsupdates beziehen zu können, besteht beispielsweise die Möglichkeit, sich die Update-Dateien direkt aus dem Microsoft Download-Center beziehungsweise den im Artikel verlinkten Security Bulletins zu laden.

Die bequemste Möglichkeit zur Installation der Sicherheit-Patches stellen die von WinFuture.de bereit gestellten Update-Packs dar. Eine aktualisierte Version werden wir in Kürze auf der Update-Pack-Seite anbieten.

Folgende Sicherheits-Updates wurden im Monat Dezember von Microsoft veröffentlicht:

MS12-077 - Kumulatives Sicherheitsupdate für Internet Explorer
Dieses Update behebt drei vertraulich gemeldete Sicherheitsanfälligkeiten in Internet Explorer. Die schwerwiegendsten Lücke können Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite mit Internet Explorer anzeigt. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Security Bulletin: MS12-077
Knowledge Base: KB2761465




MS12-078 - Sicherheitsanfälligkeiten in Windows-Kernelmodustreibern
Dieses Sicherheitsupdate behebt eine öffentlich und eine vertraulich gemeldete Schwachstelle in Microsoft Windows. Die schwerwiegenderen dieser Lücken können Remotecodeausführung ermöglichen, wenn ein Benutzer ein speziell gestaltetes Dokument öffnet oder eine schädliche Webseite besucht, in der TrueType- oder OpenType-Schriftartdateien eingebettet sind. Der Angreifer muss den Benutzer zum Besuch dieser Website verleiten, zum Beispiel indem er den Benutzer dazu auffordert, in einer E-Mail-Nachricht auf einen Link zur Website des Angreifers zu klicken.

Security Bulletin: MS12-078
Knowledge Base: KB2783534




MS12-079 - Sicherheitsanfälligkeit in Microsoft Word
Dieses Update behebt eine vertraulich gemeldete Schwachstelle in Microsoft Office. Die Sicherheitslücke kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete RTF-Datei mit einer betroffenen Version der Microsoft Office Software öffnet oder eine Vorschau davon anzeigt, oder eine speziell gestaltete RTF-E-Mail Nachricht in Outlook mit Microsoft Word als E-Mail Viewer öffnet. Ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, kann die gleichen Benutzerrechte erlangen wie der aktuelle Benutzer. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Security Bulletin: MS12-079
Knowledge Base: KB2780642




MS12-080 - Sicherheitsanfälligkeiten in Microsoft Exchange Server
Dieses Sicherheitsupdate behebt eine öffentlich und eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Exchange Server. Die schwersten Lücken liegen in Microsoft Exchange Server WebReady Document Viewing vor und können Remotecodeausführung im Sicherheitskontext des Transcodierungsdienstes auf dem Exchange Server ermöglichen, wenn ein Benutzer von Outlook Web App (OWA) eine Vorschau einer speziell gestalteten Datei anzeigt. Der Transcodierungsdienst in Exchange, der für WebReady Document Viewing verwendet wird, wird im LocalService-Konto ausgeführt. Das LocalService-Konto verfügt auf dem lokalen Computer über Mindestberechtigungen und zeigt im Netzwerk anonyme Anmeldeinformationen an.

Security Bulletin: MS12-080
Knowledge Base: KB2784126




MS12-081 - Sicherheitsanfälligkeit in der Dateiverarbeitungskomponente von Windows
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Schwachstelle in Microsoft Windows. Die Sicherheitslücke kann Remotecodeausführung ermöglichen, wenn ein Benutzer zu einem Ordner navigiert, der eine Datei oder einen Unterordner mit einem speziell gestalteten Namen enthält. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Security Bulletin: MS12-081
Knowledge Base: KB2758857




MS12-082 - Sicherheitsanfälligkeit in DirectPlay
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Schwachstelle in Microsoft Windows. Die Lücke kann Remotecodeausführung ermöglichen, wenn ein Angreifer einen Benutzer dazu verleitet, ein speziell gestaltetes Office-Dokument mit eingebetteten Inhalten anzuzeigen. Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann die gleichen Benutzerrechte erlangen wie der aktuelle Benutzer. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Security Bulletin: MS12-082
Knowledge Base: KB2770660




MS12-083 - Sicherheitsanfälligkeit in IP-HTTPS-Komponente
Dieses Update behebt eine vertraulich gemeldete Lücke in Microsoft Windows. Die Schwachstelle kann die Umgehung der Sicherheitsfunktion ermöglichen, wenn ein Angreifer einem IP-HTTPS-Server, der üblicherweise für Bereitstellungen von Microsoft DirectAccess verwendet wird, ein widerrufenes Zertifikat präsentiert. Um die Sicherheitslücke auszunutzen, muss ein Angreifer ein Zertifikat verwenden, das von der Domäne für IP-HTTPS-Serverauthentifizierung herausgegeben wird. Für die Anmeldung bei einem System innerhalb des Unternehmens sind immer noch Anmeldeinformationen für das System oder die Domäne erforderlich.

Security Bulletin: MS12-083
Knowledge Base: KB2765809




Microsoft Patch Day, Pflaster, Windows Logo Microsoft Patch Day, Pflaster, Windows Logo PC Games
Diese Nachricht empfehlen
Kommentieren37
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden