40 Sicherheitslecks in Windows, Internet Explorer und Office

Am 14. Dezember 2010 werden 13 Patches für die Windows-Plattform erwartet. Davon werden sieben Patches Sicherheitslücken beseitigen, die zur Ausführung von Schadcode missbraucht werden können. Einer dieser sieben Windows-Patches wird sich auch um den Internet Explorer kümmern. Allerdings haben nur zwei der sieben Patches von Microsoft die Klassifizierung gefährlich erhalten, obwohl in allen Fällen Codeausführung möglich ist. Nähere Details dazu wird es dann in der kommenden Woche geben.

Wie viele Sicherheitslücken in Windows und im Internet Explorer geschlossen werden, ist noch nicht bekannt. Microsoft hat aber bereits bekanntgegeben, dass der Patch den Fehler im Internet Explorer beseitigt, der seit Anfang November 2010 bekannt ist. Zudem soll einer der Windows-Patches ein - nach Aussagen von Microsoft - letztes Sicherheitsloch beseitigen, das vom Stuxnet-Wurm verwendet wurde. Der Fehler soll bislang kaum ausgenutzt worden sein und kann zur Ausweitung von Rechten missbraucht werden. Dazu muss der Angreifer lokalen Zugriff auf den betreffenden Computer haben.

Zwei weitere Patches sollen Fehler in Microsofts Office-Paket beseitigen. Auch hier ist nicht bekannt, wie viele Sicherheitslecks beseitigt werden müssen. In jedem Fall können Angreifer darüber Schadcode ausführen, ohne dass Microsoft dies als gefährlich einstuft. Gleiches gilt für einen Patch für Sharepoint, der mindestens ein Sicherheitsloch schließt, über das Angreifer beliebigen Code einschleusen und ausführen können. Mindestens ein Sicherheitsloch betrifft Exchange und kann für Denial-of-Service-Attacken missbraucht werden.

Am 14. Dezember 2010 werden die 17 Patches veröffentlicht. Alle Anwender sind aufgerufen, diese Patches möglichst zügig aufzuspielen, um die Sicherheitslücken zu beseitigen.