Update-Dienstag

Microsoft schließt vier Lücken im IE

Beim gestrigen Patch Day hat Microsoft neun Security Bulletins veröffentlicht und die zugehörigen Sicherheits-Updates bereit gestellt. Vier Security Bulletins behandeln als kritisch eingestufte Lücken in Windows, im Internet Explorer und in Silverlight.

Microsoft schließt vier Lücken im IE

© Frank Ziemann

Microsoft schließt vier Lücken im IE

Für den Internet Explorer (IE) stellt Microsoft ein neues kumulatives Sicherheits-Update (MS12-010) bereit, dass nicht nur vier neue Schwachstellen behebt sondern auch alle bisherigen Aktualisierungen enthält. Die Einstufung "kritisch" für zwei der Schwachstellen betrifft allerdings nur die IE-Versionen 7 bis 9 unter Windows 7, Vista und XP. Für den IE 6 sowie alle IE-Versionen auf Windows Server gilt die Einstufung "mittel". Die beiden kritischen Lücken erlauben es beliebigen Code einzuschleusen, wenn es gelingt Anwender auf speziell präparierte Web-Seiten zu locken.Dies gilt auch für zwei Sicherheitslücken im Kernelmodustreiber win32k.sys aller Windows-Versionen. Dieser prüft Eingaben nicht sorgfältig genug, die ihm durch die Grafikschnittstelle GDI übergeben werden. Für eine der beiden Lücken ist bereits seit Dezember ein Demo-Exploit verfügbar, der allerdings nur zu einem Bluescreen führt.Weitere als kritisch eingestufte Anfälligkeiten stecken in der C-Laufzeitbibliothek (msvcrt.dll), im .NET Framework sowie in Silverlight 4. Auch diese können es einem Angreifer ermöglichen Code einzuschleusen und auszuführen. Nicht als kritisch eingestuft hat Microsoft hingegen mehrere Lücken im Treiber für zusätzliche Funktionen (afd.sys), in der Farbsystemsteuerung sowie im Indeo-Codec (nur bei Windows XP), obwohl sie zum Teil ebenfalls taugen, um eingeschleusten Code auszuführen.Gleich fünf Schwachstellen hat Microsoft im Visio Viewer 2010 beseitigt. Sie entstehen dadurch, dass die Software beim Analysieren speziell präparierter Visio-Dateien Fehler bei der Speicherverarbeitung macht. Dadurch kann eingeschleuster Code ausgeführt werden. Zusammen mit drei Lücken in Sharepoint 2010 bilden die Visio-Lücken den Office-Anteil dieses Update-Dienstags.Außerdem liefert Microsoft sein "Tool zum Entfernen bösartiger Software" in der neuen Version 4.5 über Windows Update aus. Es nimmt sich zusätzlich die Schädlingsfamilien Win32/Fareit und Win32/Pramro zur Brust.

Mehr zum Thema

Windows Update: Screenshot