Dezember-Patchday bei Microsoft und Adobe
Microsoft hat kritische Updates für Windows, Internet Explorer, Word und Co. herausgegeben, Adobe unter anderem für Flash Player und AIR.
- Ronald Eikenberg
Microsoft und Adobe haben ihre Dezember-Patchdays abgehalten und dabei zahlreiche kritische Lücken geschlossen. Während Microsoft die meisten Windows-Versionen, den Internet Explorer, Word und einige Server-Produkte abgesichert hat, gab es von Adobe Patches für den Flash Player, AIR und ColdFusion.
Wer Windows benutzt, muss am Mittwochmorgen mit einem Neustart rechnen: Mit einem der sieben Dezember-Patch-Pakete (Bulletins) schließt Microsoft zwei kritische Lücken in sämtlichen Windows-Versionen, durch die ein Angreifer mittels speziell präparierter TrueTyp- oder OpenFont-Schritfarten Schadcode ins System einschmuggeln kann.
Ebenfalls kritisch ist ein Speicherfehler bei der Verarbeitung von Dateinamen in Windows XP bis 7 und Server 2008, den ein weiterer Patch behebt. Darüber hinaus hat Microsoft einen Heap-Overflow in der DirectPlay-API der meisten Windows-Versionen beseitigt, der beim Öffnen on Office-Dokumenten mit eingebetteten Mediendateien ebenfalls dazu führen kann, dass der Rechner Schadcode ausführt.
Außerdem gab es ein kritisches Sammelupdate für den Internet Explorer und ein Patch-Paket, das in Word 2003 bis 2010 eine kritische Lücke beim Verarbeiten von RTF-Dokumenten behebt. Von Letzerer sind auch der Word Viewer, das Office Compatibility Pack, der SharePoint Server 2010 sowie die Office Web Apps 2010 betroffen. Des Weiteren gab es ein kritisches Update für Exchange 2007 und 2010 sowie ein wichtiges für Windows Server 2008 bis 2010.
Adobe hat indes mehrere Speicherfehler in Flash und AIR behoben, die sich ebenso zum Einschleusen von Schadcode eignen. Die aktuellen Versionen lauten:
Plattform | Version | Bezugsquelle |
Windows | 11.5.502.135 |
Adobe |
Mac OS X | 11.5.502.136 | Adobe |
Linux | 11.2.202.258 | Adobe |
Android 4.x | 11.1.115.34 | Automatisch über Google Play (nur für Geräte, auf denen Flash vor dem 15. August 2012 installiert wurde) |
Android 3.x/2.x | 11.1.111.29 | Automatisch über Google Play (nur für Geräte, auf denen Flash vor dem 15. August 2012 installiert wurde) |
Google Chrome | 11.5.31.5 | Google (Chrome aktualisiert sich automatisch) |
IE 10 (Windows 8 und Server 2012) | 11.3.377.15 | Windows Update |
Zudem gab es einen Hotfix für Adobes ColdFusion 10 (und älter), der verhindert, dass in Shared-Hosting-Situationen ein Ausbruch aus der Sandbox gelingt. (rei)