Logo von Security

Suche
177

Microsoft-Patchday fällt größer aus als erwartet

Anlässlich seines Mai-Patchdays hat Microsoft wie angekündigt sieben Bulletins herausgegeben. Allerdings täuscht die Gesamtzahl der Bulletins über den Umfang der Patches hinweg, denn das kombinierte Update MS12-034 schließt etliche Lücken in zahlreichen Produkten.

Anzeige

Der Grund hierfür ist eine kritische Schwachstelle bei der Verarbeitung von TrueType-Schriften, die im vergangenen Jahr von der Spionagesoftware Duqu ausgenutzt wurde. Die Lücke wurde im Windows-Kernel zwar bereits am Dezember-Patchday geschlossen, mit Hilfe eines Code-Scanners hat Microsoft den verwundbaren Quellcode nun aber auch noch in zahlreichen weiteren Komponenten aufgespürt; unter anderem in der Bibliothek gdiplus.dll, die von diversen Browsern zum Rendern von Webfonts genutzt wird.

Einige der verwundbaren Dateien enthielten weitere Lücken, die Microsoft ebenfalls mit diesem Bulletin patcht, sodass dieses Update neben der eigentlichen Schwachstelle zahlreiche weitere behebt. Es schließt Lücken in sämtlichen noch unterstützten Windows-Versionen (ab XP SP3, auch Server), Office, dem .NET Framework und Silverlight. Unter den "Bonus-Lücken" befinden sich drei Rechteausweitungslücken im Windows-Kernel, unter anderem bei der Verarbeitung von Tastaturlayouts.

Mit dem Bulletin MS12-029 schließt Microsoft eine kritische Lücke bei der Verarbeitung von RTF-Dokumenten. Sie betrifft Office 2003, 2007 sowie das Office Compatibility Pack SP2 und 3. Die Schwachstelle wurde auch in Office für Mac 2008 und 2011 behoben. Zwei weitere kritische Lücken behebt MS12-035, sie befinden sich im .NET Framework.

Die übrigen vier Bulletins beheben Lücken mit dem zweithöchsten Schweregrad und werden von Microsoft daher als "wichtig" eingestuft. Die Schwachstellen betreffen Office, Visio Viewer 2010, den Partitionsmanager von Windows sowie dessen Firewall und TCP-Stack. (rei)

177 Kommentare

  1. Microsofts Juli-Patchday bringt sechs Patch-Pakete

    Juli-Patchday bringt sechs Patch-Pakete

    Microsoft wird kommenden Dienstag sicherheitsrelevante Patches für Internet Explorer, Windows und eine Server-Komponente veröffentlichen. Zwei davon schließen kritische Lücken.

  2. Microsoft will zum Patchday Uralt-IE ausbessern

    IE-Fix

    Für den Juni-Patchday am kommenden Dienstag hat die Firma sieben Update-Pakete für Office, Word und den Internet Explorer angekündigt. Zwei der Updates werden als kritisch eingestuft.

  3. Microsoft macht den Internet Explorer wieder sicher

    Microsoft macht den Internet Explorer wieder sicher

    An seinem März-Patchday will Microsoft fünf Patches herausgeben – zwei kritische, drei wichtige. Einer davon soll die kritische Internet-Explorer-Lücken schließen, die bereits für Angriffe missbraucht wird.

  4. Fünf Updates für einen Patchday

    Microsofts Februar-Patchday steht kurz bevor. Es gibt fünf Patches, die meisten davon für Windows. Unter den zu schließenden Lücken befinden sich zwei kritische.

Anzeige