Microsoft hat heute siebzehn Sicherheitsupdates veröffentlicht, von denen zwei als kritisch eingestuft sind. Insgesamt werden 40 Schwachstellen geschlossen. Betroffen sind Microsoft Windows, Microsoft Office, Internet Explorer und Microsoft Exchange.

 

Das Update MS10-090 behebt sieben Lücken – fünf als kritisch, zwei als moderat eingestufte – die alle momentan unterstützten Versionen des Internet Explorers auf Windows-Clients und Windows-Servern betreffen. Mit diesem Sicherheitsupdate wird auch die Sicherheitsanfälligkeit behoben, die erstmals in der Microsoft-Sicherheitsempfehlung 2458511 beschrieben wurde.

 

Mit MS10-092 schließt Microsoft die letzte der Lücken, die durch den Stuxnet-Wurm bekannt wurden und die zuletzt in begrenztem Umfang aktiv durch Angriffe missbraucht wurde. Das Update schließt die Lücke vollständig.

 

Wichtig im Zusammenhang mit MS10-091: Das Vorschau-Fenster von Microsoft Outlook ist von der Schwachstelle nicht betroffen. Microsoft weiß aber, dass einige Webbrowser von anderen Anbietern, die OpenType-Schriftarten nativ rendern, von der im Bulletin beschriebenen Schwachstelle betroffen sein können.

 

Die Bulletins MS10-093 bis einschließlich MS10-097 beheben alle Sicherheitslücken, die im Zusammenhang mit DLL Preloading stehen. Microsoft untersucht das DLL-Preloading-Problem weiterhin und wird bei Bedarf weitere Sicherheitsupdates veröffentlichen.

 

Die in MS10-102 behandelte Schwachstelle ist keine „Cloud-Sicherheitslücke“. Vielmehr kann ein Hyper-V-Gast den zugrundeliegenden Host zum Absturz bringen, indem ungültige Daten über den sogenannten vmbus geschickt werden.

 

Übrigens: Als dem Team der US-Kollegen des MSRC klar wurde, dass in diesem Jahr mindestens 100 Bulletins veröffentlicht werden, begann eine abteilungsinterne Spendesammlung - mit der Möglichkeit, dass so bestimmt wird, welches der Bulletins mit der symbolstarken Zahl 100 (MS10-100) bezeichnet werden soll. Die gesammelte Geldsumme wurde dann von Microsoft in gleicher Höhe nochmal bereit gestellt, so dass mehr als 20.000 US-Dollar zusammen kamen, die an verschiedene nationale und internationale Wohlfahrtsorganisationen gespendet werden.

 

Außerdem wurden in diesem Monat werden drei Sicherheits-Bulletins erneut veröffentlicht: Aus den FAQs von MS10-70 und MS10-077 geht jetzt hervor, dass neue Updates für .NET Framework 4.0 (KB2416472) bereit stehen, um Probleme zu beheben, die eventuell die erfolgreiche Installation anderer Sicherheitsupdates behindern. Kunden, die das Update bereits installiert haben, müssen nicht erneut aktiv werden.

 

Die FAQs von MS10-083 verweisen jetzt auf ein zusätzliches Update für Windows Vista Service Pack 2. Betroffen sind Anwender, die Windows Search 4.0 auf Windows Vista Service Pack 1 nutzen, dann das Sicherheitsupdate aus KB2405882 installiert haben und anschließend auf Windows Vista Service Pack 2 migrierten.

Trifft das zu, müssen die betroffenen Kunden das neue Update aus KB2405882 installieren, um die im Eintrag beschriebene Schwachstelle zu beheben.

 

Elf bereits veröffentlichte Bulletins (MS08-044, MS08-053, MS09-024, MS10-023, MS10-024, MS10-033, MS10-036, MS10-050, MS10-071, MS10-073, MS10-078) werden durch die aktuellen Bulletins ersetzt.

Am Mittwoch, den 15. Dezember 2010 um 11:00 Uhr pazifischer Zeit (USA & Kanada) stellt Microsoft einen Webcast bereit, um Kundenfragen zu allen Oktober-Bulletins zu beantworten. Registrieren Sie sich jetzt für den Security Bulletin-Webcast im Dezember.

Abonnieren Sie den Microsoft Security Notification Service (SNS) und/oder nutzen Sie unseren RSS-Feed, um sich automatisch und unverzüglich über neue Security Bulletins benachrichtigen zu lassen.

Die Comprehensive Version informiert Sie bereits am Donnerstag vor dem jeweiligen Patchday über Anzahl und Wichtigkeit der zu erwartenden Sicherheitsupdates, sowie über die von den Updates betroffenen Produkte. Zudem erhalten Sie über diesen Service Benachrichtigungen zu aktuellen Sicherheitsempfehlungen.