Microsoft heute sieben Sicherheitsupdates veröffentlicht, von denen eines als "kritisch" und sechs  als „wichtig“ eingestuft werden. Insgesamt werden acht Sicherheitslücken geschlossen. Betroffen sind alle unterstützten Versionen von Windows (XP SP3, Vista, Windows 7, Server 2003, Server 2008, Server 2008 R2) sowie Microsoft Entwicklertools. Wichtig zu wissen ist, dass das als kritisch eingestufte Bulletin MS12-004 unter Windows 7 und Server 2008 R2 nur die Stufe „wichtig“ hat. Ältere Windows-Versionen sind durch die entdeckte und durch das Update geschlossene Sicherheitslücke deutlich größeren Risiken ausgesetzt.

Würden die geschlossenen Lücken erfolgreich missbraucht, wären – je nach Schwachstelle – Ausführen von beliebigem Code über das Internet (Remote Code Execution, Einstufung „kritisch“ oder „hoch“), eine Rechterhöhung (Elevation of Privileges) oder der Abfluss von Informationen (Information Disclosure) möglich. Neu ist die bei MS12-001 (wichtig) verwendete Beschreibung „Umgehung der Sicherheitsfunktion“. Damit sind selten auftauchende Lücken gemeint, bei denen ein Angreifer eine Sicherheitsvorkehrung umgeht, um so eine andere Schwachstelle zu missbrauchen.

MS12-006 (wichtig) schließt die seit September bekannte SSL 3.0/-TLS 1.0-Lücke, zu der bereits die Sicherheitsempfehlung 2588513 veröffentlicht wurde. Ursprünglich war dieses Update schon im Dezember geplant, wurde dann aber kurzfristig zurückgezogen, weil sich während der Tests kleinere Schwierigkeiten auf einer Maschine zeigten. Das jetzt durch das Bulletin behobene Problem betrifft alle IT-Unternehmen und verschiedene Browserhersteller arbeiten ihrerseits an Lösungen hierfür.

Die US-Kollegen beantworten in einem Webcast am 11. Januar um 20.00 Uhr deutscher Zeit alle wichtigen Fragen zu den Januar-Updates. Die Registrierung für den Webcast findet sich hier.