Microsoft schließt kritische Lücke in Word

Die als kritisch eingestufte Lücke betrifft Microsoft Word in den Versionen 2003, 2007, 2010 und den Word Viewer. Um den PC mit Schadcode zu infizieren, muss der Nutzer ein manipuliertes Word-Dokument öffnen - entweder direkt oder im Browser über eine Webseite. Laut Security Bulletin lässt sich die kritische Lücke auch über den SharePoint Server 2010 SP1 und die Microsoft Office Web Apps 2010 SP1 ausnutzen.

Die übrigen Updates schließen Sicherheitslücken, denen die Sicherheitsexperten ein hohes Risiko bescheinigen. Hiervon betroffen sind Windows XP, Server 2003, Vista, Server 2008 und 7, Server 2008 R2, Info Path 2007 und 2010, SharePoint Server 2007 und 2010, Groove Server 2010, FAST Search Server 2010, SharePoint Services 3.0, Lync 2010, Communicator 2007 R2 und SQL Server 2005, 2008 und 2012. Angreifer können die Lücken missbrauchen, um sich unbefugt höhere Rechte zu erschleichen (Elevation of Privileges) oder Denial-of-Service-Attacken (DoS) durchzuführen. Über zwei Lücken lässt sich außerdem Schadcode einschleusen.

Microsoft hat außerdem ein vorab angekündigtes Update im Download-Center und über den Update-Katalog zur Verfügung gestellt, das die RSA-Schlüssellänge auf mindestens 1024 Bit zu erhöht. Diese Länge wird nun aus Sicherheitsgründen für die Zertifizierung von Windowsprodukten vorausgesetzt. Zum Patchday wird es über die Windows-Updatefunktion mit den anderen Updates zusammen automatisch ausgeliefert.

Daneben gibt es wie üblich ein neues “Windows Tool zum Entfernen bösartiger Software”. Der Softwarekonzern stellt außerdem ein Update für alle Windows-Versionen zur Verfügung, um die Sommerzeit in bestimmten Ländern anzupassen. Weitere nicht sicherheitsrelevante Updates betreffen Windows 7 und Windows Server 2008 R2.

Microsoft empfiehlt seinen Kunden, das Update angesichts der kritischen Sicherheitslücke in Word möglichst zeitnah durchzuführen.