Microsoft will 22 Sicherheitslücken schließen
Für den heutigen Patch Day hat Microsoft 12 Security Bulletins angekündigt, mit denen insgesamt 22 Schwachstellen in Programmen wie Windows, Office, Visual Studio und dem Internet Explorer geschlossen werden sollen.
Microsofts Ankündigung für den Patch Day im Februar stellt 12 Security Bulletins in Aussicht, von denen drei kritische Sicherheitslücken behandeln sollen. Die übrigen neuen Bulletins tragen die zweithöchste Risikostufe "hoch". Von kritischen Lücken betroffen sind der Internet Explorer sowie Windows.
Eine bereits seit einigen Wochen bekannte Schwachstelle in der Grafikschnittstelle von Windows kann es einem Angreifer ermöglichen, mittels präparierter Miniaturansichten Code einzuschleusen. Windows 7 und Server 2008 R2 sind davon nicht betroffen, wohl aber XP und Vista. Microsoft will auch die seit Dezember letzten Jahres bekannte CSS-Lücke (Cascading Style Sheets) im Internet Explorer 6, 7 und 8 schließen.
Ebenfalls zum Einschleusen von Code geeignet ist eine Schwachstelle in Microsoft Office, die Visio 2002, 2003 und 2007 betrifft. Da hierzu in der Regel die Mithilfe des Anwenders erforderlich ist, der etwa ein präpariertes Dokument öffnen müsste, stuft Microsoft solche Office-Lücken nicht als kritisch ein.
Immerhin fünf Security Bulletins sollen von Microsoft als hohes Risiko eingeschätzte Schwachstellen beheben, die eine Ausweitung von Benutzerrechten ermöglichen. Solche Lücken werden zum Beispiel dann problematisch, wenn sie ein Angreifer in Kombination mit einer weiteren Schwachstelle nutzt. Er kann dann etwa eingeschleusten Code mit Administratorrechten ausführen, obwohl der Anwender nur als Benutzer mit eingeschränkten Rechten angemeldet ist.
Wie üblich wird Microsoft heute auch das "Windows-Tool zum Entfernen bösartiger Software" aktualisieren, um weitere Schädlinge auf die Abschussliste seiner Anti-Malware-Kurpackung zu setzen. Die Security Bulletins werden gegen 19 Uhr MEZ veröffentlicht
