Wie bereits angekündigt, hat Microsoft heute im Rahmen des monatlichen Update-Zyklus 16 Sicherheitsbulletins veröffentlicht, von denen neun als „kritisch“ eingestuft sind. Betroffen sind Microsoft Windows (kritisch: MS11-038, MS11-039, MS11-041, MS11-042, MS11-043, MS11-044, MS011-50, MS11-052), Microsoft Office, .NET Framework (kritisch: MS11-039, MS11-044), Microsoft Silverlight 4 (kritisch: MS11-039), Microsoft Forefront Threat Management Gateway 2010 (kritisch: MS11-040), Internet Explorer (kritisch: MS011-50, MS11-052), Microsoft SQL Server (2005, 2008 und 2008 R2) und Microsoft Visual Studio 2005 und 2010. Die als kritisch eingestuften Bulletins schließen Lücken, die ein Ausführen von beliebigem Code aus der Ferne (Remote Code Execution, RCE) erlauben. RCE ist auch in einem minder schweren Fall (MS11-045, Lücke in Microsoft Office Excel; betrifft auch die Mac-OS-X-Versionen) möglich, so dass dieses Bulletin als „wichtig“ eingestuft wird.

Zu den betroffenen Windows-Versionen gehören Windows XP SP3, Windows Server 2003 SP2 (32- und 64bit sowie Itanium-Edition), Windows Vista SP1 und SP2 (32- und 64bit), Windows Server 2008 (32 und 64bit), Windows Server 2008 R2 sowie Windows 7 SP1 (32- und 64bit).

MS011-50 behebt insgesamt elf Schwachstellen im Internet Explorer. Betroffen sind alle derzeit unterstützten Versionen des Browsers, einschließlich der aktuellen Version Internet Explorer 9. Drei der Schwachstellen betreffen den IE9 und werden vollständig durch das Bulletin behoben. Die schwerwiegendsten Sicherheitsanfälligkeiten können zu RCE führen, wenn ein Benutzer eine bösartig modifizierte Webseite mit dem Browser aufruft (Drive-by-Attacke). Ist der Angriff erfolgreich, erlangt der Angreifer die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Arbeitet der Anwender nicht mit einem Administratorenkonto, ist das Risiko durch den Angriff geringer. Eines der Updates für den Internet Explorer adressiert einen der Wege, über den die Cookiejacking-Attacke funkioniert. Microsoft wird weitere Sicherheitsbulletins veröffentlichen, um alle Angriffsvektoren zu beseitigen. Nach wie vor beobachtet Microsoft keine massenhaften Angriffe auf diese Schwachstelle.

Im Fall der Windows Server bleibt die Einstufung bei einigen der Bulletins „kritisch“, ganz egal, ob die Systeme mit der Option Server Core installiert wurden. Von den Office-Produkten sind betroffen Microsoft Excel 2002 SP3, Excel 2007 SP 2, Microsoft Excel 2010 (32- und 64bit), Microsoft Office 2004, 2008 und 2011 für den Mac, Open XML File Format Converter for Mac, Microsoft Excel Viewer SP 2 sowie das Microsoft Office Compatibility Pack für Word, Excel, und  PowerPoint 2007-Dateiformate (SP 2).Wichtig zu wissen im Zusammenhang mit MS11-047: Obwohl Hyper-V betroffen ist, ist die Sicherheit von Microsofts Cloud-Angeboten oder die von Kunden-Angeboten nicht gefährdet. Die Schwachstelle ist nicht remot ausnutzbar und auch nicht von unbekannten Nutzern. Der Angreifer muss Zugriff auf die virtuelle Maschine haben, indem er als legitimer Nutzer angemeldet ist.

Die US-Kollegen beantworten in einem Webcast am 15. Juni um 20.00 Uhr deutscher Zeit alle wichtigen Fragen zu den Juni-Updates. Die Registrierung für den Webcast findet sich hier.