Logo von Security

Suche
177

Microsoft-Patchday fällt größer aus als erwartet

Anlässlich seines Mai-Patchdays hat Microsoft wie angekündigt sieben Bulletins herausgegeben. Allerdings täuscht die Gesamtzahl der Bulletins über den Umfang der Patches hinweg, denn das kombinierte Update MS12-034 schließt etliche Lücken in zahlreichen Produkten.

Anzeige

Der Grund hierfür ist eine kritische Schwachstelle bei der Verarbeitung von TrueType-Schriften, die im vergangenen Jahr von der Spionagesoftware Duqu ausgenutzt wurde. Die Lücke wurde im Windows-Kernel zwar bereits am Dezember-Patchday geschlossen, mit Hilfe eines Code-Scanners hat Microsoft den verwundbaren Quellcode nun aber auch noch in zahlreichen weiteren Komponenten aufgespürt; unter anderem in der Bibliothek gdiplus.dll, die von diversen Browsern zum Rendern von Webfonts genutzt wird.

Einige der verwundbaren Dateien enthielten weitere Lücken, die Microsoft ebenfalls mit diesem Bulletin patcht, sodass dieses Update neben der eigentlichen Schwachstelle zahlreiche weitere behebt. Es schließt Lücken in sämtlichen noch unterstützten Windows-Versionen (ab XP SP3, auch Server), Office, dem .NET Framework und Silverlight. Unter den "Bonus-Lücken" befinden sich drei Rechteausweitungslücken im Windows-Kernel, unter anderem bei der Verarbeitung von Tastaturlayouts.

Mit dem Bulletin MS12-029 schließt Microsoft eine kritische Lücke bei der Verarbeitung von RTF-Dokumenten. Sie betrifft Office 2003, 2007 sowie das Office Compatibility Pack SP2 und 3. Die Schwachstelle wurde auch in Office für Mac 2008 und 2011 behoben. Zwei weitere kritische Lücken behebt MS12-035, sie befinden sich im .NET Framework.

Die übrigen vier Bulletins beheben Lücken mit dem zweithöchsten Schweregrad und werden von Microsoft daher als "wichtig" eingestuft. Die Schwachstellen betreffen Office, Visio Viewer 2010, den Partitionsmanager von Windows sowie dessen Firewall und TCP-Stack. (rei)

177 Kommentare

Themen:

  1. Microsoft-Patchday vereitelt Angriffe über USB-Geräte und Edge-Browser

    Microsoft-Patchday

    Durch eine bereits ausgenutzte Windows-Lücke können Angreifer das System über die USB-Schnittstelle hochnehmen. Diese und viele weitere Schwachstellen dichtet Microsoft mit 14 Sicherheitsupdates an seinem August-Patchday ab.

  2. Vorsicht! Microsoft-Patch legt Rechner lahm

    Microsoft stopft 56 Sicherheitslöcher

    An seinem Februar-Patchday schließt Microsoft 56 Lücken – und beschert Windows-Nutzern auch neue Probleme. Durch ein älteres Update, das nun automatisch verteilt wird, hängt der Rechner beim Installieren fest.

  3. Patchday: Microsoft schließt kritische Office- und IIS-Schwachstellen

    Patchday: Microsoft schließt kritische IIS-Schwachstelle

    Am April-Patchday hat Microsoft elf Updates herausgegeben, vier davon behandeln kritische Lücken. Zwei zusätzliche optionale Updates werden ebenfalls angeboten.

  1. Update "2012.2" für ASP.NET und Webtools in Visual Studio

    Microsoft hat neue Funktionen für die Webentwicklungsplattform ASP.NET und die zugehörigen Werkzeuge in Visual Studio 2012 veröffentlicht.

  2. CAN-Busfahren

    Hacker steuern Jeep Cherokee fern

    Durch eine Schwachstelle im Infotainmentsystem konnten Sicherheitsforscher die Kontrolle über einen Jeep übernehmen – über das Internet. Anfällig sind möglicherweise weitere Modelle des Fiat-Chrysler-Konzerns. Ein erstes Update schafft Abhilfe

  3. BUILD 2013: Previews verfügbar – sonst nichts Neues

    Es gibt nun Preview-Versionen von Windows 8.1, Windows Server 2012 R2 und Visual Studio 2013 sowie .NET 4.5.1 zum Download.

  1. Luftgewinn

    Der Seat Leon X-Perience im Test

    Volkswagen ist schon länger erfolgreich mit seinen Cross- und Alltrack-Modellen. Nun setzt auch Seat auf den Trend, eher unauffällige Autos mittels robuster Beplankung einen eindrucksvollen Offroad-Charakter zu verleihen und nennt das "X-Perience”. Wir fuhren den Seat Leon X-Perience mit Allradantrieb

  2. BaaS: Parse-CEO verlässt Facebook

    Facebook

    2013 hatte Facebook den Backend-as-a-Service-Anbieter übernommen, nun will sich der CEO und Mitbegründer Ilya Sukhar neuen Aufgaben an anderer Stelle zuwenden.

  3. Eigene Wege III

    Land- und Renntechnik im Citroën 2CV, Teil drei

    Kompakt, leicht, robust und einfach sollte der Motor des 2CV werden. Steuererleichternd klein im Hubraum zeigte er gewissermaßen als Nebeneffekt, dass ein unter vorwiegender Vollast betriebener Motor auch einen geringeren spezifischen Verbrauch erreicht - ohne notwendigerweise schneller zu verschleißen

  4. Breko, Buglas und VATM warnen eindringlich vor Re-Monopolisierung des Tk-Markts

    Breko, Buglas und VATM warnen eindringlich vor Re-Monopolisierung des Tk-Markts

    Die Telekom möchte die Vectoring-Technik an allen Hauptverteilern in Deutschland allein ausbauen, die Bundesnetzagentur könnte das abnicken. Der Mitbewerb kritisiert: Die Telekom bekäme alle Filetstücke für eine fast wertlose Ausbauverpflichtung.

Anzeige