13 Vor-Weihnachts-Patches von Microsoft

Zum letzten Patchday des Jahres gibt es nochmal reichlich Arbeit für Admins: 13 Updates beseitigen insgesamt 19 Lücken in Windows, Internet Explorer und Office. Ein Update wurde wegen Kompatibilitätsproblemen kurzfristig noch einmal verschoben.

Das Update, auf das alle bereits gewartet haben, bessert einen kritischen Fehler bei der Behandlung von True-Type-Schriften durch den Windows-Kern aus, der bereits aktiv ausgenutzt wird – unter anderem durch den Duqu-Wurm (MS11-087). Fast genau so kritisch ist das Windows-Media-Update in MS11-092. Speziell präparierte Digital-Video-Recording-Dateien (DVR-MS) können zu Fehlern bei der Speicherverwaltung des Media Players führen, die sich für Angriffe ausnutzen lassen.

Immerhin 7 weitere Updates sollen ebenfalls verhindern, dass Angreifer Systeme infizieren, indem sie dort eigenen Code einschleusen (Remote Code Execution); Microsoft stuft allerdings die meisten nur als "wichtig" ein. Das kommt daher, dass Lücken etwa in Office-Produkten es erfordern, dass der Anwender zunächst eine passend präparierte Datei öffnet.

Eines der angekündigten Updates hat Microsoft noch zurückgehalten, weil es Probleme mit den Produkten eines anderen Herstellers zur Folge hat. Es handelt sich dabei um einen Patch für die im September bekannt gewordene Schwachstelle in SSL/TLS; es gebe jedoch bislang keine Erkenntnisse über Angriffe, die diese ausnützten, erklärt Angela Gunn im Blog des Microsoft Security Response Centers. Bis zur Freigabe des Patches vermutlich im nächsten Jahr können sich Anwender mit einem Fix-it schützen. Einen Überblick zu allen Patches gibt Microsofts Security Bulletin Summary für Dezember 2011. (ju)