Patchday Dezember 2014: Microsoft liefert den letzten Patch aus November nach

Zum letzten offiziellen Patchday des Jahres 2014 bringt Microsoft nochmal sechs Sicherheitsbulletins für seine Softwareprodukte. Neben den üblichen Updates für den Internet Explorer, gibt es Aktualisierungen für verschiedene Office-Komponenten. Ebenfalls wurde das fehlende Bulletin vom November veröffentlicht.

Aufgrund der mit den Sicherheitslücken verbundenen teils schwerwiegenden Risiken wird empfohlen, die Updates schnellstmöglich zu verteilen bzw. zu installieren. Nachdem eins von den zwei fehlenden November-Bulletins bereits Mitte November nachgeliefert wurde, ist ab heute auch das letzte veröffentlicht worden: Sicherheitsbulletin MS14-075. Es schließt eine Lücke, die es Angreifern ermöglicht, Nutzern auf dem Microsoft Exchange Server erweiterte Zugriffsrechte zu erteilen. Die Lücke erinnert an die im November geschlossene Lücke im Kerberos-Protokoll.

• Microsoft Security Bulletin MS14-075 (hoch)
  Vulnerabilities in Microsoft Exchange Server Could Allow Elevation of Privilege (KB3009712)
  Betroffene Software: Exchange (2007 – 2013)
• Microsoft Security Bulletin MS14-080 (kritisch)
  Cumulative Security Update for Internet Explorer (KB3008923)
  Betroffene Software: Internet Explorer (6 – 11)
• Microsoft Security Bulletin MS14-081 (kritisch)
  Vulnerabilities in Microsoft Word and Microsoft Office Web Apps Could Allow Remote Code Execution (KB3017301)
  Betroffene Software: Word (2007 – 2013, RT, Mac 2011), Word Viewer, Compatibility Pack, SharePoint Server (2010, 2013), Office Web Apps (2010, 2013)
• Microsoft Security Bulletin MS14-082 (hoch)
  Vulnerability in Microsoft Office Could Allow Remote Code Execution (KB3017349)
  Betroffene Software: Office (2007 – 2013, RT)
• Microsoft Security Bulletin MS14-083 (hoch)
  Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (KB3017347)
  Betroffene Software: Excel (2007 – 2013, RT), Compatibility Pack
• Microsoft Security Bulletin MS14-084 (kritisch)
  Vulnerability in VBScript Scripting Engine Could Allow Remote Code Execution (KB3016711)
  Betroffene Software: VBScript (5.6 – 5.8)
• Microsoft Security Bulletin MS14-085 (hoch)
  Vulnerability in Microsoft Graphics Component Could Allow Information Disclosure (KB3013126)
  Betroffene Software: Server (2003 – 2012), Windows (Vista – 8.1, RT – RT 8.1)

Weiterführende Informationen bieten Microsofts Technet-Seiten. Wie jeden Monat wurde auch das Tool zum Entfernen bösartiger Software aktualisiert.