Mehr Sicherheit

Microsoft stopft am Patchday 22 Löcher

Microsoft hat zum kommenden Patch-Day die Veröffentlichung von 12 Sicherheitsupdates angekündigt, durch die 22 Sicherheitslücken gestopft werden sollen.

Nach dem eher ruhigen Patch-Day im Januar, wird Microsoft nun zum Patch-Day im Februar am kommenden Dienstagabend gleich 12 Sicherheitsupdates veröffentlichen, mit denen insgesamt 22 Sicherheitslücken geschlossen werden sollen. Laut Angaben von Microsoft sind dieses Mal der Internet Explorer, Windows, Internet Server und Visio betroffen.

Microsoft wird zum Patch-Day außerdem auch drei Patches zu Bugs veröffentlichen, deren Existenz das Unternehmen bereits bestätigt hat. Darunter befindet sich auch ein Bug, der von Angreifern bereits seit einigen Wochen ausgenutzt wird. Die von Microsoft bestätigten aber bisher noch nicht geschlossenen Lücken stecken im Internet Explorer, im Internet Information Server und in der Art und Weise, wie Windows Thumbnail-Bilder rendert.

Die Lücke im Internet Explorer hatte Microsoft am 22. Dezember 2010 bestätigt, nachdem ein französisches Sicherheitsunternehmen darüber berichtet hatte. Die Lücke steckt in allen Versionen des Internet Explorers. Kurze Zeit später hatte Microsoft seine Kunden davor gewarnt, dass die Lücke bereits von Angreifern ausgenutzt werde.

Die Windows-Lücke steckt in der Grafik-Engine, die für das Rendern von Thumbnail-Bildern innerhalb von Ordnern zuständig ist. Der Bug war Mitte Dezember 2010 auf einer Sicherheitskonferenz in Südkorea publik geworden. Microsoft hatte am 4. Januar 2011 mit der Veröffentlichung einer Sicherheitsempfehlung reagiert. Die Entwicklung des Bugfixes ist nun abgeschlossen, so dass er zum Patch-Day im Februar erscheinen kann.

Drei der insgesamt zwölf Sicherheitsupdates, die zum Patch-Day veröffentlicht werden sollen, stuft Microsoft als "kritisch" ein. Die übrigen neun Sicherheitsupdates bewertet Microsoft mit "wichtig". 10 der 12 Sicherheitsupdate betreffen Windows, darunter ein Update, das Sicherheitslücken im Internet Information Service (IIS) 7.0 und 7.5 unter Windows 7 und Windows Server 2008 R2 schließt. Die anderen beiden Sicherheitsupdates betreffen Internet Explorer und Visio.

Microsoft hatte kürzlich vor einer Sicherheitslücke in MHTML gewarnt. Die Sicherheitslücke, so hieß es, könne es einem Angreifer gestatten, ein bösartiges Script ablaufen zu lassen, sobald der Anwender eine entsprechend präparierte Website besucht. Diese Sicherheitslücke wird Microsoft zum Patch-Day im Februar noch nicht schließen. (PC-Welt/hal)