Microsoft stopft kritische Löcher in Windows und Internet Explorer (aktualisiert)

Wie an jedem zweiten Dienstag im Monat veröffentlichte Microsoft auch gestern Abend wieder Patches, um Sicherheitslücken zu schließen. Für den Dezember-Patchday gab es insgesamt sechs Updates, die 11 Lecks mit "kritischem" und "hohem" Risikopotenzial stopfen sollen. Die Patches betreffen das Windows-Betriebssystem, Microsoft Office, den Internet Explorer, Microsoft Works und Microsoft Office Project. Eine entsprechende Liste hat Microsoft wie immer auf seinen Seiten veröffentlicht.

Einige Sicherheitslöcher, die geschlossen werden, bewertet Microsoft mit "kritisch". Das Sicherheitsupdate für das Betriebssystem Windows behebt zwei vertraulich gemeldete Sicherheitsanfälligkeiten, die Remotecodeausführung ermöglichen, wenn vom Internetauthentifizierungsdienst-Server empfangene Nachrichten beim Verarbeiten von PEAP-Authentifizierungsversuchen falsch in den Speicher kopiert werden. Ein Angreifer, dem es gelingt, eine dieser Sicherheitsanfälligkeiten auszunutzen, kann laut Microsoft vollständige Kontrolle über das betroffene System erlangen. Server mit Internetauthentifizierungsdienst seien aber nur betroffen, wenn PEAP mit MS-CHAP v2-Authentifizierung verwendet wird.

Auch die Lücke in Microsoft Office Project wird als "kritisch" eingestuft, genau wie die insgesamt vier Sicherheitslücken im Internet Explorer. Wenn ein Nutzer eine speziell gestaltete Webseite mit Internet Explorer aufruft, können diese Sicherheitsanfälligkeiten ebenfalls die Ausführung von Remotecode ermöglichen. Für Anwender, deren Nutzerkonten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten. Ein mit ATL-Headern (Microsoft Active Template Library) erstelltes ActiveX-Steuerelement kann ebenfalls Remotecodeausführung ermöglichen. Wie immer empfiehlt sich ein umgehendes Update mit anschließendem Neustart, um die Sicherheitslücken zu schließen.

Adobe mit Updates für Flash Player und Air - Leck im Illustrator

Auch Adobe stellt jetzt Patches für einige Anwendungen bereit. In der Flash-Player-Version 10.0.32.18 und älteren Varianten befänden sich als "kritisch" eingestufte Lecks, die die Anwendung zum Absturz bringen könnten, aber auch einem Angreifer ermöglichten, Kontrolle über das betroffene System zu erhalten. Adobe empfiehlt entsprechend, auf die aktuellste Version 10.0.42.34 umzusteigen. Betroffen ist nicht nur die Windows-, sondern auch die Linux-Variante.

Je nach Konfiguration muss der Nutzer für das Update hier nichts selber machen: Adobe verteilt die geflickte Software über die Auto-Update-Option, ansonsten kann es auch von einer Unterseite der Adobe-Homepage heruntergeladen werden. Auch Nutzern, die die so genannte Adobe-Air-Laufzeitumgebung installiert haben, wird das Update empfohlen, und zwar für alle Anwender mit der Version 1.5.2 oder älter auf die aktuelle 1.5.3. Hier ist allerdings kein automatisches Update möglich, die neue Version gibts über eine Unterseite der Adobe-Homepage.

Während das Flash-Player-Problem ein große Zahl an Nutzer betreffen dürfte, wird eine weitere Problematik in Adobe-Software wohl nur für einen kleineren Kreis relevant sein: Wie das Unternehmen mitteilt, findet sich auch in der Grafiksoftware Adobe Illustrator CS3 und CS4 eine Schwachstelle. Hierfür gibt es aber noch kein Update, Adobe will dies am 8. Januar kommenden Jahres bereit stellen. Bis dahin rät das Unternehmen, Dateien im .eps-Format (einer PostScript-Variante) aus unbekannten Quellen nicht zu öffnen.