Adobe und Microsoft: März-Patchday Nachlese

Gestern war es wieder so weit, Patchday bei Microsoft und bei Adobe. Microsoft rollt fünf kritische Updates aus. Weitere Updates, auch für die Surfaces sind mit dabei – und Adobe rollt auch ein kleines Update aus. Hier noch ein kurzer Blick auf diese Updates.

Microsoft Patchday im Überblick

Bei mir wurden insgesamt sieben wichtige Updates und ein optionales Silverlight-Update angeboten. Letzteres ist nervig, da ich kein Silverlight installiert habe.

Hier ein Überblick über die Updates, wie er im Technet-Security-Bulletin zu finden ist.

Kumulatives Sicherheitsupdate für Internet Explorer (2925418) MS14-012
Dieses kritische Sicherheitsupdate erfordert einen Neustart und behebt eine öffentlich und siebzehn vertraulich gemeldete Sicherheitsanfälligkeiten in Internet Explorer. Wenn ein Benutzer eine speziell gestaltete Webseite mit Internet Explorer anzeigt, können diese Sicherheitsanfälligkeiten Remotecodeausführung ermöglichen. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Sicherheitsanfälligkeit in Microsoft DirectShow kann Remotecodeausführung ermöglichen (2929961) MS14-013
Dieses kritische Sicherheitsupdate erfordert u.U. einen Neustart behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Bilddatei öffnet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

Sicherheitsanfälligkeiten in Windows-Kernelmodustreiber können Erhöhung von Berechtigungen ermöglichen (2930275) MS14-015
Dieses als wichtig (hoch) eingestufte Sicherheitsupdate erfordert einen Neustart behebt eine öffentlich und eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die schwerwiegendste dieser Sicherheitsanfälligkeiten kann eine Erhöhung von Berechtigungen ermöglichen, wenn sich ein Angreifer bei dem System anmeldet und eine speziell gestaltete Anwendung ausführt. Ein Angreifer benötigt gültige Anmeldeinformationen und muss sich lokal anmelden können, um diese Sicherheitsanfälligkeiten auszunutzen.

Sicherheitsanfälligkeit im SAMR-Protokoll (Security Account Manager Remote) kann Umgehung der Sicherheitsfunktion ermöglichen (2934418) MS14-016
Dieses als wichtig (hoch) eingestufte Sicherheitsupdate erfordert einen Neustart und behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Windows. Die Sicherheitsanfälligkeit kann eine Umgehung der Sicherheitsfunktion ermöglichen, wenn ein Angreifer mehrfach versucht, Kennwörter mit einem Benutzernamen abzugleichen.

Sicherheitsanfälligkeit in Silverlight kann Umgehung der Sicherheitsfunktion ermöglichen (2932677) MS14-014

Dieses als wichtig (hoch) eingestufte Sicherheitsupdate erfordert keinen Neustart und behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft Silverlight. Die Sicherheitsanfälligkeit kann eine Umgehung der Sicherheitsfunktion ermöglichen, wenn ein Angreifer eine Website mit speziell gestalteten Silverlight-Inhalten hostet, mit der die Sicherheitsanfälligkeit ausgenutzt werden kann, und dann einen Benutzer zum Anzeigen der Website verleitet. Ein Angreifer kann Benutzer jedoch nicht zum Besuch einer solchen Website zwingen. Er muss den Benutzer zum Besuch einer Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken. Es besteht ebenfalls die Möglichkeit, speziell gestalteten Webinhalt mithilfe von Bannerwerbungen anzuzeigen oder Webinhalt auf andere Weise an betroffene Systeme zu übermitteln.

Weitere Details zu den obigen Updates lassen sich hier nachlesen.

Weitere Updates für Windows und Office

Microsoft hat zudem eine Reihe weiterer Updates zu Windows und Office ausgerollt. Bei meinem Windows 7 wurde zudem noch das Update KB2813956 angeboten, welches das View Available Networks UI (VAN UI) Freezes-Problem beheben soll. Und Larry Seltzers hat in diesem ZDNet-Artikel eine Liste mit 16 unkritischen Updates für diverse Plattformen zusammen getragen.

Updates für Surface-Tablet PCs

Besitzer eines Microsoft Surface Tablet PC erhalten zusätzliche Firmware-Update für ihr Gerät. Darauf weist Mary Foley hier bei ZDNet.com hin. Das erste Surface erhält keine Update, das Surface 2 ist aber mit einigen Firmware-Updates dabei. Eine Reihe Updates adressieren dabei das Surface Power Cover. Die Surface Pro und Surface Pro 2-Geräte mit Windows 8/8.1 erhalten ebenfalls Updates. Eines betrifft die Miracast-Unterstützung für das Marvell AVASTAR Wireless Composite Device. Interessiert mich, da ich gerade einen Medion Akoya P2212T Convertible teste und keinerlei Miracast-Kopplung bei drei HDMI-Empfängern hinbekomme. Auch Updates für Bluetooth sind dabei. Details findet ihr in obigen ZDNet-Artikel sowie hier auf der Microsoft Surface Update-History-Seite.

Adobe rollt ein nicht kritisches Flash-Update aus

Laut diesem ZDNet-Artikel hat Adobe auch zwei mögliche Sicherheitslücken im Flash-Player für Windows, Mac OS X und Linux durch ein Update behoben. Betroffen sind:

• Adobe Flash Player 12.0.0.70 and earlier versions for Windows and Macintosh
• Adobe Flash Player 11.2.202.341 and earlier versions for Linux

Benutzer dieser Flash-Versionen sollten diese aktualisieren. Bei Google Chrome und beim IE 11 in Windows 8.1 wird das Update durch Google bzw. Microsoft ausgerollt. Die Aktualisierte Version des Google Chrome-Browsers 33.0.1750.149 für Windows, Mac, und Linux wird hier thematisiert.