Microsoft schließt sieben Office-Lücken

Wie angekündigt hat Microsoft drei Bulletins nebst Updates veröffentlicht. Sie schließen elf Lücken in Office und dem Forefront Unified Access Gateway (UAG). Die sieben in Office geschlossenen Lücken erlauben zwar allesamt das Einschleusen und Starten von Code, aber nur eine wurde als kritisch eingestuft, da sie sich über den Aufruf präparierter Webseiten ausnutzen lässt. Bei den anderen sechs muss ein Opfer ein manipuliertes Office-Dokument öffnen.

Betroffen ist neben älteren Office-Versionen auch Office 2010. Interessanterweise wird in den Credits der französische Sicherheitsdienstleister VUPEN erwähnt. Dieser hatte Mitte dieses Jahres verkündet, Informationen über Sicherheitslücken nur noch gegen Bezahlung an Microsoft weiterzugeben. Dabei erwähnte er insbesondere in Office 2010 gefundene Lücken. Offenbar ist es zu einer Einigung zwischen Microsoft und VUPEN gekommen. Das Update für Forefront Unified Access Gateway (UAG) beseitigt drei Cross-Site-Scripting-Schwachstellen und eine Spoofing-Anfälligkeit.

Die Lücke im Internet Explorer bleibt zunächst weiterhin offen. Am Wochenende war ein öffentlicher Exploit aufgetaucht. Zudem haben Kriminelle Berichten von AVG zufolge bereits in das Exploit-Pack Eleonore ein Modul eingebaut, das die Lücke zur Infektion von Windows-PCs missbraucht. Microsoft dürfte damit in Zugzwang geraten, nun doch einen Notfall-Patch veröffentlichen zu müssen. (dab)