Microsoft schließt IE- und Stuxnet-Lücken

Microsoft hat wie angekündigt 17 Sicherheits-Updates veröffentlicht, um 40 Sicherheitslücken zu schließen. Besonderes Augenmerk verdienen drei Updates: Der kumulative Patch MS10-090 für den Internet Explorer beseitigt sechs Lücken, darunter auch die seit mehreren Wochen bekannte und ausgenutzte Lücke in der Verarbeitung von präparierten Cascading Style Sheets (CSS).

Am vergangenen Wochenende wurde jedoch eine neue Lücke im Internet Explorer im Umgang mit Import-Tags in CSS bekannt, die sich sehr wahrscheinlich ebenfalls zum Infizieren eines Windows-PCs missbrauchen lässt. Ein kursierender Exploit führt zwar nur zum Absturz des Browsers, der französische Sicherheitsdienstleister VUPEN und Secunia erklären in ihren Beschreibungen des Fehlers aber, dass sich dadurch auch Code einschleusen und ausführen lassen könnte. Microsoft untersucht das Problem derzeit.

Das zweite kritische Update MS10-091 schließt drei bislang unbekannte Lücken im OTF-Treiber (OTF steht außerhalb der Heise-Welt für OpenType Font). Auch sie lassen sich durch den Besuch infizierter Webseiten ausnutzen. Interessanterweise hat den Credits von Microsoft zufolge Marc Schoenefeld vom Red Hat Security Response Team zwei der Lücken entdeckt und gemeldet.

Nach längerer Ankündigung beseitigt nun das Update MS10-092 eine Lücke im Taskplaner, die der Stuxnet-Wurm zur Ausweitung der Zugriffsrechte auf einem System benutzt. Damit dürften dann in Windows alle bislang in Zusammenhang mit Stuxnet bekannt gewordenen vier Lücken geschlossen sein.

Bei den 14 restlichen gepatchten Lücken etwa im Media Encoder, Movie Maker, Office Windows und Windows-Adressbuch handelt es sich in der Mehrzahl zwar ebenfalls um Fehler, durch die sich ein System kompromittieren lässt. Dazu muss ein Anwender jedoch eine präparierte Datei manuell öffnen. Zwei Updates beheben zudem Schwachstellen im SharePoint- und Exchange-Server.

Eine Übersicht aller Updates gibt es im Microsoft Security Bulletin Summary für Dezember 2010 . (dab)