Patch-Day: Microsoft schließt 4 "kritische" und 10 "wichtige" Lücken

Microsoft hat gestern Abend - wie an jedem zweiten Dienstag des Monats - im Rahmen des Patch-Days zahlreiche Sicherheitsaktualisierungen bereitgestellt. Geschlossen wurden insgesamt 14 Lücken, das sind allerdings zwei weniger als angekündigt. Eine rasche Installation ist aber empfohlen, vor allem beim Einsatz eines Servers. Microsoft hat aktuell 14 von 16 im Vorfeld angekündigte Sicherheitslücken gestopft, die beiden Bulletins MS14-068 und MS14-075 fehlen nämlich. Microsoft schreibt in der Security Bulletin Summary for November 2014, dass man die Veröffentlichungszeitpunkte hier noch bestimmen müsse.

Der wahrscheinlich wichtigste Patch hat die (Bulletin-)Nummer MS14-066: Dieser spricht eine kritische Lücke im Microsoft Secure Channel (Schannel) von Windows an. Nach Angaben des Redmonder Unternehmens kann hierbei über speziell manipulierte Pakete, die an einen Windows-Server geschickt werden, Remote Code Execution durchgeführt werden. Betroffen sind hiervon allerdings nicht nur Server-Produkte, sondern auch "normale" bzw. alle Windows-Versionen.

Eine weitere kritische Lücke wird in MS14-064 angesprochen, genauer gesagt handelt es sich um zwei Schwachstellen im Windows Object Linking and Embedding (OLE). Diese wurden auch bereits für Angriffe verwendet.

Internet Explorer

Bei einem Patch-Day darf auch der Internet Explorer nicht fehlen, für den Microsoft-Browser gibt es entsprechend auch ein kumulatives Update, dieses spricht alle aktuellen IE-Versionen an. Näheres dazu gibt es in einem separaten Blog-Beitrag, dort heißt es, dass nun im IE nicht mehr nur alte Java-Versionen, sondern auch abgelaufene Silverlight-Ausgaben blockiert werden.

Die komplette Übersicht, die aktuell aber leider nur in englischer Sprache zur Verfügung steht, verrät außerdem, dass insgesamt zehn "wichtige" Sicherheitslücken geschlossen wurden.