Microsoft hat heute acht Sicherheitsupdates veröffentlicht, von denen drei als "kritisch" und fünf als „wichtig“ eingestuft werden. Die kritischen Bulletins beheben Schwachstellen in Internet Explorer, und Windows. Die wichtigen Bulletins betreffen Microsoft Office und Windows. Insgesamt werden 19 Sicherheitslücken geschlossen.

Mit hoher Dringlichkeit getestet und installiert werden sollten die Bulletins MS13-090 (Internet Explorer),  MS13-088 und MS13-089. MS13-090 behebt die bislang als Zero-Day-Lücke klassifizierte Schwachstelle in Internet Explorer Version 7, 8, 9 und 10, die vergangenen Freitag bekannt wurde. Weitere Details zur Schwachstelle und deren Missbrauch liefert ein Blog-Beitrag meiner US-Kollegen vom MSRC.

Für die kürzlich durch ein Fix it behandelte Schwachstelle ist noch kein Update unter den veröffentlichten Bulletins. Daher empfehlen wir allen Kunden, die eines der betroffenen Produkte nutzen, unbedingt das im Sicherheitshinweis 2896666 genannte Fix it zu installieren. Betroffen sind Anwender, wenn sie Microsoft Office (2003 und 2007 unabhängig vom Betriebssystem, Office 2010 nur unter Windows XP oder Server 2003), Lync oder Windows jeweils in einzelnen Versionen nutzen. Bislang sind Microsoft keine aktiven Angriffe auf Lync oder Windows bekannt.

Gemeinsam mit den November-Bulletins veröffentlicht wurden auch die Sicherheitshinweise 286725 und 2880823. Der erste Hinweis erläutert, warum Microsoft ab sofort auf die Stream Cipher RC4 verzichtet (Windows 8.1 und Internet Explorer 11 kommen bereits ohne RC4 aus). Im SRD-Blog der US-Kollegen finden sich weitere Details zu RC4 und seinen Schwächen. Der zweitgenannte Hinweis behandelt eine neue Richtlinie, wie Zertifizierungsstellen im Zusammenhang mit SSL- und Codesignierungszertifikaten mit dem Algorithmus SHA1 umgehen sollten. Unser PKI-Blog liefert weitere Details.

Am Mittwoch, den 13. November liefert ein Webcast um 20.00 Uhr MEZ weitere Antworten rund um die Bulletins. Der Webcast ist anschließend „on demand“ verfügbar.