Gut dran ist, wer einen schnellen Internet-Zugang hat. Denn im Rahmen des allmonatlichen Patch-Day stehen seit gestern Abend »Software-Flicken« in großem Maßstab zur Verfügung.

Es ist die zweitgrößte Zahl von Patches, die Microsoft in diesem Jahr herausbringt (siehe hier das entsprechende Bulletin von Microsoft). Sie schließen insgesamt 14 Sicherheitslöcher, unter anderem in Windows 2000, XP, Server 2003 und Vista, Office, den Internet-Explorer-Versionen 6 und 7, Visual Basic, Virtual PC und Virtual Server.

Zur Illustration kurz ein Blick auf Vista Ultimate, das auf gerade die Patches auf meinen PC heruntergeladen hat: Dort finden sich vier Sicherheits-Updates für Vista selbst, eines für die XML-Core-Services und eines für Internet-Explorer 7. Zudem wird ein Loch in Office 2007 gestopft.

Hinzu kommen die üblichen Updates für den Spam-Filter und das Tool für das Entfernen bösartiger Software. Eine umfangreiche Liste also.

Acht Löcher kritisch

Acht der vierzehn Sicherheitslöcher stuft Microsoft als »kritisch« ein, vier als »wichtig«. Symantecs Security Response Team hält die Patches für den Internet-Explorer 6 und 7 für die wichtigsten. Sie schließen zwei Lücken, die den Transfer von Malware mithilfe präparierter Web-Seiten erlauben.

Laut Symantec hat Microsoft auch ein Loch im Windows Graphical Device Interface (GDI) geschlossen. Die Sicherheitsfirma McAfee dagegen weist auf einen Patch hin, der eine neue Art von Angriffen blockiert, mittels RSS-Feeds.

Laut McAfee gehen Hacker dazu über, RSS-Feeds mit Schadsoftware »auszustatten«. Zielgruppe sind Nutzer von Windows Vista. Wenn diese einen solchen News-Dienst abonnierten, konnte der Angreifer anschließend auf dem Fremdsystem eigene Programme laufen lassen.

Hacker nutzen Schwachstellen in Browsern

Generell, so McAfee, zeichnet sich der Trend ab, dass Hacker verstärkt Schwachstellen in Web-Browsern als Einfallstor nutzen. Internet-User sollten daher beim Surfen vorsichtig sein und dubiose Seiten meiden.

So einfach ist das allerdings nicht. Das Problem besteht darin, dass Angreifer dazu übergehen, harmlose Web-Sites zu hacken und ohne Wissen des Betreibers dort Schadcode zu platzieren.

Die Mozilla Foundation, die den Browser Firefox herausbringt, wird daher in Version 3 eine Technik integrieren, welche die versteckte Malware erkennt und den Nutzer warnt (siehe Meldung von gestern).