Microsoft kündigt sechs Updates zum Patchday an

Am kommenden Dienstag will Microsoft sechs sicherheitskritische Updates herausgeben. Eines der Updates schließt eine Lücke in den XML-Core-Services. Wieviele Lücken die Updates insgesamt schließen, ist unklar – in der Vergangenheit hat ein Update häufiger gleich mehrere Schwachstellen korrigiert. Zusätzlich kündigt der Softwareriese noch zwei nicht sicherheitsrelevante Aktualisierungen mit hoher Priorität an, die über Microsoft Update sowie den Update-Server WSUS verteilt werden sollen.

Für die Sicherheitslücke in den XML-Core-Services der Version 4 ist inzwischen Exploit-Code frei verfügbar. Diesen Schadcode nutzen Kriminelle schon auf diversen Webseiten. Microsoft stuft den Patch daher auch als kritisch ein; der Patch erfordert einen Neustart der betroffenen Maschinen. Fünf weitere Sicherheitsupdates betreffen die Windows-Betriebssysteme. Mindestens eines dieser Updates gilt bei Microsoft ebenfalls als kritisch. Einige Aktualisierungen davon erfordern einen Neustart des Rechners, um aktiv zu werden.

Damit bleibt auch nach dem Patchday eine Sicherheitslücke in Powerpoint, die kurz nach dem Oktober-Patchday entdeckt und seitdem ausgenutzt wurde, wahrscheinlich offen; Microsoft hat keine Patches für Office angekündigt. Möglicherweise beheben die Entwickler jedoch einen Fehler im ActiveX-Control daxctle.ocx für DirectAnimation, der seit nunmehr zwei Monaten aktiv zum Kompromittieren von Windows-Rechnern ausgenutzt wird.

Ob die Redmonder das Update auf den Internet Explorer 7 als nicht sicherheitsrelevant einstufen oder ob es zu den fünf Windows-Updates gehört, erläutert die Patchday-Ankündigung Microsofts nicht. Wer jedoch das automatische Update verhindern möchte, findet in einem Artikel auf heise Security Hilfestellung.

Siehe dazu auch: (dmk)

• Microsoft Security Bulletin Advance Notification, Patchday-Ankündigung von Microsoft