Oktober-Patchday: Microsoft schließt erste kritische Lücke in Windows 7

Microsoft hat wie angekündigt an seinem Oktober-Patchday 13 Sicherheitsbulletins veröffentlicht, die 34 Schwachstellen beschreiben. Das ist die höchste Zahl an Updates seit Einführung der monatlichen Patchdays im Oktober 2003. Eine der Aktualisierungen schließt die erste als „kritisch“ eingestufte Lücke in Windows 7. Dabei handelt es sich um einen kumulativen Patch für den Internet Explorer 5, 6, 7 und 8 (MS09-054).

Die Fixes MS09-050 und MS09-053 beheben die schon bekannten Fehler in Server Message Block Version 2 (SMB2) beziehungsweise im FTP-Dienst der Internet Information Services. Weitere als kritisch eingestufte Lücken bestehen in der Windows Media Runtime (MS09-051), im Windows Media Player (MS09-052), in ActiveX-Steuerelementen (MS09-055 und MS09-060) sowie der .NET Common Language Runtime (MS09-061) und GDI+ (MS09-062). Alle lassen sich von Angreifern zum Einschleusen und Ausführen von Schadcode ausnutzen.

Darüber hinaus hat Microsoft vier Patches für Schwachstellen bereitgestellt, deren Sicherheitsrisiko das Unternehmen als „hoch“ eingestuft hat. Das Update MS09-056 adressiert eine Spoofing-Lücke in der Windows-Crypto-API, das Update MS09-057 eine Sicherheitsanfälligkeit im Indexdienst. Zwei weitere Fehler bestehen im Windows-Kernel (MS09-058) und im Subsystem für die lokale Sicherheitsautorität (MS09-059). Der erste erlaubt einem lokal angemeldeten Nutzer, seine Systemrechte zu erhöhen. Die zweite Lücke ermöglicht Denial-of-Service-Angriffe.

Zu den betroffenen Produkten gehören neben Windows 7 auch Windows 2000, XP, Vista, Server 2003 und 2008, Office XP, 2003 und 2007, SQL Server 2000 und 2005, Silverlight, Visual Studio .NET 2003, Visual Studio 2005 und 2008, Visual FoxPro 8.0 und 9.0, Microsoft Report Viewer 2005 und 2008, Forefront Client Security 1.0 sowie die Office-Programme Visio, Project, Word Viewer und Works.

Die Patches können über die automatische Windows-Update-Funktion oder Microsofts Download-Center heruntergeladen werden. Da für die Lücken in SMB2 und im FTP-Dienst der Internet Information Services schon Schadcode im Umlauf ist und Microsoft bei fünf weiteren Schwachstellen erwartet, dass ein passender Exploit veröffentlicht wird, sollten betroffene Anwender ihr System schnellstmöglich aktualisieren.