12.12.2012 07:42
Alert! Dezember-Patchday bei Microsoft und Adobe
Microsoft und Adobe haben ihre Dezember-Patchdays abgehalten und dabei zahlreiche kritische Lücken geschlossen. Während Microsoft die meisten Windows-Versionen, den Internet Explorer, Word und einige Server-Produkte abgesichert hat, gab es von Adobe Patches für den Flash Player, AIR und ColdFusion.
Wer Windows benutzt, muss am Mittwochmorgen mit einem Neustart rechnen: Mit einem der sieben Dezember-Patch-Pakete (Bulletins) schließt Microsoft zwei kritische Lücken in sämtlichen Windows-Versionen, durch die ein Angreifer mittels speziell präparierter TrueTyp- oder OpenFont-Schritfarten Schadcode ins System einschmuggeln kann.
Ebenfalls kritisch ist ein Speicherfehler bei der Verarbeitung von Dateinamen in Windows XP bis 7 und Server 2008, den ein weiterer Patch behebt. Darüber hinaus hat Microsoft einen Heap-Overflow in der DirectPlay-API der meisten Windows-Versionen beseitigt, der beim Öffnen on Office-Dokumenten mit eingebetteten Mediendateien ebenfalls dazu führen kann, dass der Rechner Schadcode ausführt.
Außerdem gab es ein kritisches Sammelupdate für den Internet Explorer und ein Patch-Paket, das in Word 2003 bis 2010 eine kritische Lücke beim Verarbeiten von RTF-Dokumenten behebt. Von Letzerer sind auch der Word Viewer, das Office Compatibility Pack, der SharePoint Server 2010 sowie die Office Web Apps 2010 betroffen. Des Weiteren gab es ein kritisches Update für Exchange 2007 und 2010 sowie ein wichtiges für Windows Server 2008 bis 2010.
Adobe hat indes mehrere Speicherfehler in Flash und AIR behoben, die sich ebenso zum Einschleusen von Schadcode eignen. Die aktuellen Versionen lauten:
| Plattform | Version | Bezugsquelle |
| Windows | 11.5.502.135 | Adobe |
| Mac OS X | 11.5.502.136 | Adobe |
| Linux | 11.2.202.258 | Adobe |
| Android 4.x | 11.1.115.34 | Automatisch über Google Play (nur für Geräte, auf denen Flash vor dem 15. August 2012 installiert wurde) |
| Android 3.x/2.x | 11.1.111.29 | Automatisch über Google Play (nur für Geräte, auf denen Flash vor dem 15. August 2012 installiert wurde) |
| Google Chrome | 11.5.31.5 | Google (Chrome aktualisiert sich automatisch) |
| IE 10 (Windows 8 und Server 2012) | 11.3.377.15 | Windows Update |
Zudem gab es einen Hotfix für Adobes ColdFusion 10 (und älter), der verhindert, dass in Shared-Hosting-Situationen ein Ausbruch aus der Sandbox gelingt.
(rei)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
