08.06.2009, 14:40 Uhr
Microsoft kündigt zehn Sicherheits-Updates an
Mit insgesamt zehn Security-Updates will Microsoft am kommenden Patchday kritische Fehler in Windows, dem Internet Explorer (IE), Word und Excel beheben.
Diese Woche dürfte es für IT-Administratoren wieder einmal rundgehen: Microsoft will am Juni-Patchday zehn Sicherheits-Updates veröffentlichen - immerhin die umfangreichste Flickensammlung seit Oktober 2008. Sechs der Patch-Sets werden sich mit als kritisch eingestuften Sicherheitslücken in Microsoft Office, dem Internet Explorer und Windows beschäftigen. Im Mai nicht ausgelieferte Mac-Updates werden nun nachgereicht, die kürzlich bekannt gewordene DirectX-Lücke bleibt hingegen einstweilen unbehandelt.
Zwei der Security Bulletins sollen sich mit kritischen Schwachstellen in Windows befassen, drei weitere mit Sicherheitslücken der zweithöchsten Stufe "hoch" und eines mit einer Anfälligkeit in Windows XP und Server 2003 mit der Risikostufe "mittel". Von diesen sechs Security Bulletins betreffen nur drei Windows Vista und Server 2008.
Microsoft Office wird mit drei Security Bulletins bedacht, alle tragen die Einstufung "kritisch". Ein Update betrifft vor allem Word, das zweite Excel und das dritte wiederum Word sowie die Works-Suite. Auch die Mac-Versionen von MS Office sind betroffen. Für diese sowie für Microsoft Works will Microsoft am 9. Juni auch die PowerPoint-Updates (MS09-017) nach reichen, die beim letzten Patch Day im Mai noch nicht reif zur Auslieferung waren.
Der Internet Explorer ist Gegenstand eines weiteren Security Bulletins. Alle noch unterstützten Versionen (5.01 bis 8.0) sind von mindestens einer Sicherheitslücke betroffen. Für die Desktop-Versionen von Windows gilt die Risikostufe "kritisch", für die Server-Versionen, wegen deren verstärkter Sicherheitskonfiguration, nur die Stufe "mittel". Es ist mit einem neuen kumulativen Sicherheits-Update für den IE zu rechnen.
Ausserdem wird Microsoft das "Windows-Tool zum Entfernen schädlicher Software" aktualisieren und weitere, nicht sicherheitsrelevante Software-Aktualisierungen veröffentlichen. Die Security Bulletins dürften am 9. Juni wie üblich gegen 19 Uhr MESZ veröffentlicht werden, das Anti-Malware-Tool etwas früher.
Nicht mit dabei ist dem Microsoft Security Response Center zufolge ein Fix für den kürzlich gemeldeten, kritischen Parser-Fehler in DirectShow, der mittels präparierter QuickTime-Dateien ausgenutzt werden kann.. Anfällig ist die Programmbibliothek "quartz.dll", die in DirectX 7.0 bis einschliesslich 9.0c enthalten ist. Demzufolge sind Windows 2000, XP und Server 2003 gefährdet - nicht jedoch Vista, Server 2008 oder Windows 7. In DirectX 10 (ab Windows Vista) ist die anfällige QuickTime-Funktionalität nicht mehr enthalten. Über die Schwachstelle können sich Angreifer die volle Kontrolle über den angegriffenen Rechner verschaffen. Die Lücke wird bereits aktiv ausgenutzt. Bis der in Arbeit befindliche Patch reif für die Veröffentlichung ist, empfiehlt Microsoft die im zugehörigen Security-Advisory beschriebenen Workarounds.
