Beim nächsten Update-Dienstag am 8. Oktober will Microsoft eine kritische Sicherheitslücke im Internet Explorer schließen, die bereits seit Wochen für gezielte Angriffe ausgenutzt wird. So wird eines von vier Security Bulletins, die als kritisch eingestufte Schwachstellen behandeln sollen, ein neues kumulatives Sicherheits-Update für alle unterstützten Versionen (6 bis 11) des Internet Explorer liefern.

Mittlerweile ist für die IE-Lücke Exploit-Code als Metasploit-Modul veröffentlicht worden. Somit dürften breiter angelegte Angriffe im Web, die diese Schwachstelle ausnutzen, auch bald zum Repertoire kommerzieller Angriffsbaukästen (Exploit-Kits) gehören. Einstweilen hat Microsoft als Interimslösung ein Fix-it Tool bereit gestellt, das den bislang genutzten Angriffsvektor blockiert.

Weitere kritische Lücken will Microsoft in Windows und im .NET-Framework schließen. In sieben der insgesamt acht Security Bulletins wird es um Sicherheitslücken gehen, die es einem Angreifer ermöglichen, Code einzuschleusen und auszuführen. Drei der vier Bulletins mit der zweithöchsten Risikoeinstufung "hoch" sollen Schwachstellen in Office und Sharepoint behandeln. Diese Lücken erfordern die Mitwirkung eines Benutzers, der etwa eine speziell präparierte Excel- oder Word-Datei öffnen müsste.

Schließlich will Microsoft auch noch sein Flash-Surrogat Silverlight 5 abdichten, das unter nicht näher bezeichneten Umständen Informationen preisgeben kann. Microsoft wird die Security Bulletins am 8. Oktober wie üblich gegen 19 Uhr deutscher Zeit veröffentlichen. Außerdem wird Microsoft seinen Schädlingsbekämpfer, das Windows-Tool zum Entfernen bösartiger Software, in einer neuen Version verteilen.

Adobe will am gleichen Tag Sicherheits-Updates für seine PDF-Programme Reader und Acrobat XI bereit stellen.