Microsoft Patchday schließt 13 kritische Lücken

9. Mai 2012, 15:38
  • Der Mai-Patchday fällt umfangreicher aus als erwartet.
    foto: volker moehrke/zefa/corbis

    Der Mai-Patchday fällt umfangreicher aus als erwartet.

Insgesamt werden 23 Sicherheitslücken in Windows, Word und .NET Framework gestopft

Microsoft hat im Rahmen des Mai-Patchdays sieben Sicherheitsupdates veröffentlicht, die 23 Lücken schließen. Davon wurden 13 als kritisch eingestuft und betreffen Schwachstellen in Word, Windows, Office, .NET Framework und Silverlight. Sie könnten ausgenutzt werden, um Malware einzuschleusen. 

True-Type-Schriftarten

Zu den wichtigsten Updates gehört der Bulletin MS12-034, der zehn Lücken in Windows XP, Server 2003, Vista, Server 2008, 7, Server 2008 R2 sowie .NET Framework 3, 3.5.1 und 4 stopft. Ein Missbrauch ist mit manipulierten Dateien oder Webseiten möglich, in der True-Type-Schriften eingebettet sind. Es ist dieselbe Lücke, die 2011 von der Spionagesoftware Duqu ausgenutzt wurde. Mit dem Patchday im Dezember wurde die Lücke zwar schon geschlossen, Microsoft hat aber Kopien des Quellcodes unter anderem in der Systemdatei "win32k.sys" und in der Bibliothek "gdiplus.dll" gefunden.

RTF-Dateien

Das Update MS12-029 schließt eine Lücke bei der Verarbeitung von RTF-Dateien. Beim Öffnen der Datei ist eine Remotecodeausführung möglich. Betroffen sind Word 2003 und 2007, Office 2008 und 2011 für Mac sowie das Office Compatibility Pack.

Remotecodeausführung

Mit dem Update MS12-035 für .NET Framework wird ebenfalls eine Remotecodeausführung verhindert. Und zwar wenn NutzerInnen eine Website in einem Browser öffnen, der XAML-Browseranwendungen ausführen kann.

Microsoft rät zu einem baldigen Aufspielen des Updates. (ez, derStandard.at, 9.5.2012)

Share if you care
Posten Sie als Erste(r) Ihre Meinung

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.