Sicherheit
Juni-Patch-Day: Microsoft beseitigt 27 Sicherheitslücken
von
Thorsten
Eggeling - 13.06.2012
Anders als in den Sicherheits-Bulletins zuerst angekündigt, schließt Microsoft zum Patch-Day im Juni sogar 27 Sicherheitslücken in seinen Produkten. Dreizehn Schwachstellen befinden sich alleine im Internet Explorer.
In sieben Sicherheits-Bulletins beschreibt Microsoft insgesamt 27 Sicherheitslücken. 15 davon stuft das Unternehmen als „kritisch“ ein und 12 als „hoch“. Die meisten Fehler erlauben die Remotecodeausführung oder eine Erhöhung von Privilegien. MS12-037 beschreibt ein kumulatives Update für den Internet Explorer, mit dem 13 Sicherheitslücken geschlossen werden. Die als „kritisch“ eingestuften Lücken ermöglichen es Angreifern beim Besuch einer manipulierten Webseite Code einzuschleusen. Einige dieser Anfälligkeiten waren auf der Hackkonferenz Pwn2Own im März 2012 entdeckt worden. Die vier weniger gefährlichen Schwachstellen im Internet-Explorer können Angreifer für das Ausspionieren von Daten nutzen.
Eine gefährliche Lücke (MS12-036) in Windows betrifft das Remote-Desktop-Protokoll (RDP), das allerdings nicht standardmäßig aktiviert ist. Wer RDP verwendet, muss aber damit rechnen, ein Opfer manipulierter RDP-Pakete zu werden. Ob die Lücke bereits aktiv ausgenutzt wird, ist noch nicht bekannt.
Weiter schließt der Konzern drei gefährliche Sicherheitslücken im Instant-Messaging-Client Communicator 2007 R2 und in der Kommunikationsplattform Lync 2010 (MS12-039). Zwei Lücken entstehen durch eine fehlerhafte Verarbeitung von True-Type-Schriftartdateien. Öffnet ein Opfer bestimmte Dateien, können Angreifer darüber Schadcode ausführen. Die dritte Lücke erlaubt Angreifern Daten auszuspähen.
Ein weiterer Patch behebt eine Sicherheitslücke in .Net Framework 2.0 (Service Pack 2), .Net Framework 3.5.1 und .Net Framework 4 (MS12-038). Diese erlaubt Kriminellen, beliebigen Code auszuführen. Außerdem schließen zwei Windows-Sicherheitsupdates sieben Löcher, über die sich Angreifer Rechte erschleichen können (MS12-041 und MS12-042). Ein weiterer Patch behebt einen Fehler in Dynamics AX 2012 (MS12-040), worüber Angreifer Daten ausspähen können.
Zeitgleich hat Microsoft eine Sicherheitswarnung und ein Fixit für ein Leck im Internet Explorer sowie in der Office-Software herausgegeben. Der Fehler, der bereits aktiv ausgenutzt wird, liegt in den XML Core Services 3.0, 4.0, 5.0 und 6.0. Er kann von Angreifern missbraucht werden, um Schadcode auszuführen.
Zeitgleich hat Microsoft eine Sicherheitswarnung und ein Fixit für ein Leck im Internet Explorer sowie in der Office-Software herausgegeben. Der Fehler, der bereits aktiv ausgenutzt wird, liegt in den XML Core Services 3.0, 4.0, 5.0 und 6.0. Er kann von Angreifern missbraucht werden, um Schadcode auszuführen.
