Microsoft veröffentlicht Patch für WMF-Lücke

Ursprünglich wollte Microsoft das Security-Update erst am 10. Januar im Rahmen des monatlichen Patch-Days veröffentlichen. Nun hat sich das Unternehmen entschlossen, den Patch schon jetzt zur Verfügung zu stellen.

Über diese hoch kritische Lücke können Angreifer mittels präparierten Windows Meta File (WMF)-Dateien auf nahezu jedem Windows-System beliebigen Code ausführen. Betroffen sind im Grunde alle Windows-Versionen seit Windows 3.0, Updates gibt es allerdings nur für Windows 2000 (Service Pack 4), Windows XP (SP1, SP2) und Windows Server 2003. Ein Workaround von Microsoft erwies sich letzte Woche als wirkungslos, erst Sicherheitsexperten außerhalb des Unternehmens fand eine vorübergehend Lösung.

Microsoft gibt an, dass die Tests für das nun veröffentlichte Sicherheits-Update hinsichtlich Qualität und Kompatibilität schneller als erwartet abgeschlossen waren. Das vorgezogene Update erfolge auf vielfachen Kundenwunsch, eine Lösung möglichst bald zur Verfügung zu stellen. Das Security-Update ist erhältlich als MS06-001.

„Unsere Beobachtungen zeigen, dass die Angriffe auf die Sicherheitslücke sehr begrenzt sind, weil aktuelle Virenscanner die bösartigen Signaturen bereits erkennen und schädliche Webseiten auf unser Betreiben hin bereits geschlossen werden konnten,“ meint Thomas Baumgärtner, Pressesprecher von Microsoft Deutschland.

Wer das automatische Windows-Update aktiviert hat, braucht nichts weiter zu tun und erhält den Patch automatisch, so Microsoft. Auch der manuelle Download und die Installation von Microsoft-Update oder Windows-Update sollen funktionieren.

Firmenkunden, die Windows Server Update-Services nutzen, bekommen ihr Update automatisch. Weiterhin wird das Update vom Microsoft Baseline Security Analyzer 2.0, Systems Management Server- und Software-Update-Services unterstützt. Großkunden können das Update auch vom Download Center herunterladen.