Microsoft hat heute sieben Sicherheitsupdates veröffentlicht, von denen eines als "kritisch" und sechs als „wichtig“ eingestuft werden. Insgesamt werden 20 Sicherheitslücken geschlossen. Das kritische Bulletin (MS12-064) behebt Schwachstellen in Microsoft Word, die sechs als wichtig eingestuften in Windows, Office und SQL Server.

Die Schwachstelle in Word ließe sich von Angreifern beispielsweise missbrauchen, indem sie dem Opfer eine bösartig manipulierte E-Mail im Rich Text Format schicken und das Opfer dazu bringen, die E-Mail zu öffnen. Dieser Angriff funktioniert nur, wenn Word als voreingestellter E-Mail-Reader in der jeweiligen E-Mail-Anwendung (Voreinstellung in Microsoft Outlook 2007 und 2010) gewählt wurde. Es muss kein Word-Dokument zum Missbrauch der Schwachstelle geöffnet werden. Derzeit liegen Microsoft auch keine Informationen über aktive Angriffe auf diese Lücke vor.

Das Bulletin MS12-067 behebt die Probleme, die erstmals in der Sicherheitsempfehlung 2737111 (Anfälligkeiten im FAST Search Server) beschrieben wurden. Auch diese Lücke wird nach unseren Informationen derzeit nicht aktiv angegriffen.

Würden die geschlossenen Lücken erfolgreich missbraucht, wäre je nach Schwachstelle das Ausführen von beliebigen Code aus der Ferne (Remote Code Execution), eine Rechteerhöhungen (Elevation of Privilege) oder Denial of Service möglich.

Am Mittwoch, den 10. Oktober liefert ein Webcast um 20.00 Uhr MEZ alle wichtigen Details zu den Bulletins. Der Webcast ist anschließen „on demand“ verfügbar.

Außerdem wird im Rahmen der Oktober-Bulletins das bislang als manueller Download verfügbare, die Länge von RSA-Keys betreffende Update per Windows Update automatisch verteilt. Seit August stehen der Sicherheitshinweis 2661254 bereit sowie das Update zum manuellen Download im Microsoft Download Center. Die automatische Verteilung ist der letzte Schritt, um die Sicherheit der Systeme unserer Kunden zu erhöhen.