Wie bereites angekündigt, hat Microsoft heute im Rahmen des monatlichen Update-Zyklus vier Sicherheitsbulletins veröffentlicht, von denen eines als „kritisch“ bewertet wird. Die übrigen Bulletins werden als „wichtig“ eingestuft. Betroffen sind Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 sowie Microsoft Visio 2003. Insgesamt werden 22 Sicherheitslücken geschlossen, alleine 15 davon durch MS11-054. Dieses Update ersetzt MS011-034, das ebenfalls Lücken im Windows Kernel schloss.

Die Sicherheitslücken in Windows Vista und Windows 7 lassen bei einem erfolgreichen Angriff eine Remote Code Execution (RCE) zu. Somit sind es diese Systeme, auf die die Einstufung „kritisch“ zutrifft. Betroffen sind alle PCs, in denen ein Bluetooth-Modul verbaut ist – mithin also quasi alle modernen Notebooks und auch alle stationären PCs, an denen ein USB-Bluetooth-Stick steckt. Die Sicherheitsanfälligkeit findet sich im Bluetooth-Stack von Windows Vista und Windows 7. Werden bösartig manipulierte Bluetooth-Datenpakete an das System geschickt, kann es zur Remotecodeausführung kommen.Um die Pakete an den PC des Opfers zu schicken, muss der Angreifer sich in unmittelbarer Nähe befinden, da Bluetooth nur eine beschränkte Reichweite abdeckt.

Smartphones mit Windows Phone 7 sind von der durch MS011-53 geschlossenen Lücke nicht betroffen.

Die Folge: Ein Angreifer kann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen. Nicht betroffen sind Anwender, die das Windows Vista Feature Pack for Wireless für Windows Vista nicht installiert haben, sind von der Lücke nicht betroffen. Diese Systeme haben keine Unterstützung für Bluetooth 2.1 und sind daher nicht betroffen. Anwender von Windows 7 müssen ihren Rechner unter Umständen zweimal neu starten, um das Update vollständig zu installieren.

Das Update für Visio 2003 schließt zwar ebenfalls eine RCE-fähige Lücke. Dennoch wird das Bulletin aufgrund des niedrigeren Risikos als „wichtig“ eingestuft. Um die Lücke erfolgreich zu missbrauchen, muss der Anwender eine gültige Datei in Visio öffnen, die sich in demselben Netzwerkverzeichnis befindet wie eine speziell gestaltete Bibliotheksdatei – ein insgesamt eher unwahrscheinliches Szenario. Gelangt der Angreifer dennoch ans Ziel, kann er den PC mit den gleichen Nutzerrechten steuern, wie sie der angemeldete Anwender innehat.

Im Fall von Windows Server 2008 und Server 2008 R2 spielt es keine Rolle, ob das System mit der Option Server Core oder in der Vollversion installiert wurde. Beide Varianten sind betroffen. Bei allen Serverbetriebssystemen sind sämtliche CPU-Varianten (32bit, 64bit und Intel Itanium) betroffen.

Die US-Kollegen beantworten in einem Webcast am 13. Juli um 20.00 Uhr deutscher Zeit alle wichtigen Fragen zu den Juli-Updates. Die Registrierung für den Webcast findet sich hier.