Alert! Weiterhin Lücken trotz Microsofts Riesen-Patch-Serie [Update]

Zum Februar-Patchday hat Microsoft wie angekündigt 13 Bulletins veröffentlicht, die insgesamt 26 Sicherheitslücken behandeln. Kritische Patches gibt es für alle Windows-Versionen seit 2000 SP4 einschließlich Server 2003 und 2008 -- jeweils für 32 und 64 Bit. Die Patches für Office XP, 2003 und 2004 für Mac haben die Einstufung "wichtig" erhalten. Die meisten beschriebenen Programmierfehler lassen sich unter gewissen Umständen ausnutzen, um verwundbare Systeme übers Netz mit beliebigem Schadcode zu infizieren und unter Fremdkontrolle zu bringen.

Laut dem Microsoft Security Response Center Blog sind die Bulletins zu Schwachstellen im SMB-Netzwerk-Client (MS10-006), dem Windows Shell Handler (MS10-007), einigen ActiveX-Controls (MS10-008) und in DirectShow (MS10-013) besonders eilig. Neu auf der Liste besonders wichtiger Updates ist das Bulletin MS10-015, das die Rechteausweitung per Virtual DOS Machine behandelt, die vor 17 Jahren eingeführt wurde. Auch für diese Schwachstelle ist jüngst Exploit-Code aufgetaucht . Admins sollten beim Patchen gemäß der Microsoft-Empfehlung mit diesen fünf Bulletins beginnen.

[Update:] Ebenfalls erwähnenswert sind die kritischen Schwachstellen im IPv6-Stack von Vista und Server 2008 (MS10-009). [/Update] Die Updates stellen die Redmonder über die gewohnten Update-Mechanismen zur Verfügung. Auch Windows-Nutzer sollten nicht zögern, sie einzuspielen. Ungepatcht bleibt die DoS-Schwachstelle in den SMB-Clients von Windows 7 und Windows Server 2008 R2 und die Lücke im Internet Information Server 6.0 (IIS) beim Parsen von Dateinamen mit Semikolon-Erweiterung. Für die bislang ungefixte Sicherheitslücke im Internet-Explorer steht das Fix-it-Tool bereit.

Siehe dazu auch:

• Security Bulletin Summary for February 2010 von Microsoft
• Security Bulletin Summary für Februar 2010, deutsche Zusammenfassung von Microsoft
• Microsoft will 26 Lücken am kommenden Patchday schließen auf heise Security

(cr)