Microsoft adressiert 26+1 Sicherheitslücken
Zum aktuellen Patch Day hat Microsoft mit sieben Security Bulletins insgesamt 26 Sicherheitslücken in seiner Software geschlossen. Eine weitere kritische Lücke im XML-Befehlssatz muss allerdings von Hand beseitigt werden.
Zum monatlichen Patch Day hat Microsoft am Dienstag wieder einige wichtige Updates für seine Software ausgerollt. Insgesamt gab es sieben Security Bulletins, die sich um 26 teils kritische Lücken drehten. Die Hälfte davon geht alleine auf den Browser Internet Explorer zurück, betroffen sind alle derzeit noch unterstützten Versionen vom IE6 bis hin zur Version 10 aus der Consumer Preview von Windows 8. Microsoft bezeichnete das MS12-037 deshalb als wichtigste Komponente der aktuellen Update-Runde und empfiehlt allen Anwendern und IT-Verantwortlichen den entsprechenden kumulativen Patch KB2699988 unbedingt umgehend zu installieren, sollte dies nicht automatisch erfolg sein. Die meisten der Lücken im Explorer waren im Frühjahr im Rahmen des Hacker-Wettbewerbs Pwn2own entdeckt worden. Einige davon hatten auch die Browser-Konkurrenten Google Chrome und Mozilla Firefox betroffen, die das Leck jedoch bereits innerhalb weniger Stunden nach seinem Bekanntwerden geschlossen hatten.
Als ähnlich dringend wie die Explorer-Patches stuft Microsoft die Bulletins MS12-036 und MS12-038 samt der entsprechenden Updates ein, die kritische Lücken im Remote Desktop Protokoll zur externen Fernsteuerung von PCs und dem .NET-Framework behandeln. Darüber hinaus wurden diesen Monat einige spezielle Updates für Unternehmenssoftware von Microsoft ausgerollt. Davon betroffen sind einerseits der Instant Messenger Lync 2010 des Office Communication Servers, sowie dessen Vorgänger Communicator 2007. Als zweites gibt es auch einen Patch für die aktuelle ERP-Lösung Dynamics AX 2012, der allerdings nur über das Download-Center verfügbar ist. Wie die letzten Monate auch wurde der Patch Day gleich noch dazu genutzt, eine neue Version (4.9) des Tools zum Entfernen bösartiger Software (MSRT) zu verteilen.
Beim Patch Day nicht behoben wurde hingegen eine als kritisch eingestufte Lücke in den XML Core Services 3.0, 4.0, 5.0 und 6.0 (MSXML), die auftritt, wenn MSXML auf ein nicht initialisiertes Objekt im Speicher zugreifen soll. Sie betrifft alle noch unterstützten Windows Versionen sowie die Office Suiten 2003 und 2007 und wurde bereits zu Angriffen ausgenutzt. Dabei kann mittels manipulierter Internetseiten Code über den Internet Explorer auf den PC geschleust und mit den jeweiligen Rechten des Benutzers ausgeführt werden. Da laut der Sicherheitsempfehlung 2719615 noch kein Patch für diese Lücke zur Verfügung steht, empfiehlt Microsoft einen Workaround, der entsprechende Angriffe blockiert. Alternativ ließe sich auch Active Scripting im Internet Explorer deaktivieren, was ihn jedoch nahezu unbrauchbar für Websurfing macht. Einfacher wäre es hier gleich einen anderen Browser zu nutzen, bis ein entsprechender Patch vorliegt.
