Zehn Microsoft-Patches

Microsoft will am morgigen Juni-Patchday zehn Sicherheits-Updates veröffentlichen –immerhin die umfangreichste Flickensammlung seit Oktober 2008. Sechs der Patch-Sets werden sich mit als kritisch eingestuften Sicherheitslücken in Microsoft Office, dem Internet Explorer und Windows beschäftigen. Im Mai nicht ausgelieferte Mac-Updates werden nun nachgereicht, die kürzlich bekannt gewordene DirectX-Lücke bleibt hingegen einstweilen unbehandelt.

Zwei der Security Bulletins sollen sich mit kritischen Schwachstellen in Windows befassen, drei weitere mit Sicherheitslücken der zweithöchsten Stufe «hoch» und eines mit einer Anfälligkeit in Windows XP und Server 2003 mit der Risikostufe «mittel». Von diesen sechs Security Bulletins betreffen nur drei Windows Vista und Server 2008.

Geflicktes Office
Microsoft Office wird mit drei Security Bulletins bedacht, alle tragen die Einstufung «kritisch». Ein Update betrifft vor allem Word, das zweite Excel und das dritte wiederum Word sowie die Works-Suite. Auch die Mac-Versionen von Microsoft Office sind betroffen. Für diese sowie für Microsoft Works will Microsoft am 9. Juni auch die PowerPoint-Updates (MS09-017) nach reichen, die beim letzten Patch Day im Mai noch nicht reif zur Auslieferung waren.

Internet-Explorer-Lücke
Der Internet Explorer ist Gegenstand eines weiteren Security Bulletins. Alle noch unterstützten Versionen (5.01 bis 8.0) sind von mindestens einer Sicherheitslücke betroffen. Für die Desktop-Versionen von Windows gilt die Risikostufe «kritisch», für die Server-Versionen – wegen deren verstärkter Sicherheitskonfiguration – nur die Stufe «mittel». Es ist mit einem neuen kumulativen Sicherheits-Update für den Internet Explorer zu rechnen.

Neuauflage des Killer-Tools
Ausserdem wird Microsoft das «Windows-Tool zum Entfernen schädlicher Software» aktualisieren und weitere, nicht sicherheitsrelevante Software-Aktualisierungen veröffentlichen. Die Security Bulletins dürften am 9. Juni wie üblich gegen 19 Uhr MESZ veröffentlicht werden, das Anti-Malware-Tool etwas früher.

Nicht mit dabei ist dem Microsoft Security Response Center zufolge ein Fix für den kürzlich gemeldeten, kritischen Parser-Fehler in DirectShow, der mittels präparierter QuickTime-Dateien ausgenutzt werden kann. Anfällig ist die Programmbibliothek «quartz.dll», die in DirectX 7.0 bis einschliesslich 9.0c enthalten ist. Demzufolge sind Windows 2000, XP und Server 2003 gefährdet – nicht jedoch Vista, Server 2008 oder Windows 7. In DirectX 10 (ab Windows Vista) ist die anfällige QuickTime-Funktionalität nicht mehr enthalten.
Über die Schwachstelle können sich Angreifer die volle Kontrolle über den angegriffenen Rechner verschaffen. Die Lücke wird bereits aktiv ausgenutzt. Bis der in Arbeit befindliche Patch reif für die Veröffentlichung ist, empfiehlt Microsoft, die im zugehörigen Security-Advisory beschriebenen Workarounds (Anleitungen).