Sicherheitsupdates April
Wie bereits
angekündigt, hat Microsoft heute 17 Sicherheitsupdates veröffentlicht, von
denen neun als „kritisch“ und acht als „wichtig“ eingestuft sind. Insgesamt
werden 64 Schwachstellen behoben, die in Microsoft Windows, Microsoft Office,
Internet Explorer, Visual Studio, .NET Framework und GDI+ zu finden waren. Eine
Übersichtsseite listet alle Sicherheitsbulletins dieses Monats auf. Im
MSRC-Blog der US-Kollegen gibt es weitere Details, insbesondere zur
Priorisierung der Bulletins.
Die aus Microsofts Sicht wichtigsten Bulletins in diesem
Monat sind MS11-018
(Internet Explorer), MS11-019
(SMB-Client) und MS11-020
(SMB-Server). Die zu diesen Bulletins gehörenden Updates sollten von Kunden mit
hoher Priorität getestet und installiert werden. Die durch MS11-020 behobene
Schwachstelle könnte – würde sie von Angreifern missbraucht – aufgrund ihrer
Natur zu einem Wurmausbruch führen. Die Lücke wurde Microsoft vertraulich gemeldet,
so dass keinerlei Informationen nach außen drangen, bevor das Problem durch das
Update behoben wurde.
Wichtig zu wissen im Zusammenhang mit MS11-018: Es sind alle
Versionen des Internet Explorer betroffen, mit Ausnahme des neuen Internet
Explorer 9. Kommt der Internet Explorer auf einem Windows Server zum Einsatz,
ist das Update „wichtig“, auf Windows-Clients hingegen „kritisch“. Das Update
behebt die Sicherheitslücke, die während des Pwn2Own-Wettbwerbs
entdeckt wurde.
Die Bulletins MS11-023 und MS11-25 beheben
Probleme, die im Zusammenhang mit DLL-Preloading stehen. Microsoft untersucht
seine Produkte weiterhin auf Schwachstellen in diesem Umfeld.
Mit 17 Sicherheitsbulletins erreicht der April einen neuen
Rekordwert. Nie zuvor gab es so viele Sicherheitsupdates von Microsoft auf
einmal. MS11-034
adressiert 30 Schwachstellen im Windows-Kernel. Dies ist die bislang größte
Zahl an Lücken, die ein einzelnes Update behebt. Da die Schwachstelle nicht
Remote missbraucht werden kann, ist das Bulletin nur als „wichtig“ eingestuft.
Die US-Kollegen geben in einem Webcast
um 20.00 Uhr deutscher Zeit alle wichtigen Details zu den April-Updates
bekannt. Die Registrierung für den Webcast findet
sich hier.