Microsoft hat heute elf Sicherheitsupdates veröffentlicht, von denen fünf als "kritisch" und sechs als „wichtig“ eingestuft werden. Insgesamt werden 24 Sicherheitslücken geschlossen. Die kritischen Bulletins beheben Schwachstellen in Internet Explorer, Windows, Microsoft Exchange und GDI+. Durch MS13-096 wird die im Sicherheitshinweis 2896666 beschriebene Lücke vollständig geschlossen.

Mit hoher Priorität sollten die Bulletins MS13-096 (Microsoft Windows, Microsoft Office, und Microsoft Lync), MS13-097 (Internet Explorer, insgesamt sieben einzelne Schwachstellen) und MS13-099 (Microsoft Windows) getestet und installiert werden. Anwender, die den im Sicherheitshinweis 2896666 genannten Hotfix installiert haben, müssen diesen nicht deinstallieren. Nach Installation des neuen Sicherheitsupdates sollten die im Hinweis genannten Schritte jedoch rückgängig gemacht werden, damit TIFF-Bilder wieder einwandfrei angezeigt werden können.

Für die kürzlich öffentlich gewordene Schwachstelle im Kernel von Windows XP und Server 2003 ist noch kein Update unter den am kommenden Dienstag veröffentlichten Bulletins. Daher empfehlen wir allen Kunden, die eines der betroffenen Produkte nutzen, unbedingt die im Sicherheitshinweis 2914486 unter „Empfohlene Maßnahmen“ genannten Schritte zu befolgen.

Außerdem veröffentlicht Microsoft heute noch drei Sicherheitshinweise: Der Hinweis 2905247 bezieht sich auf eine unsichere ASP.NET-Site-Konfiguration, die zu einer Rechteausweitung führen kann. Hinweis 2871690 entzieht neun UEFI-Modulen das digitale Zertifikat, so dass diese nicht mehr ausgeführt werden können. Hinweis 2915720 verweist auf das Bulletin MS13-098. Der Hinweis gibt einen Ausblick auf eine im Juni 2014 anstehende Änderung an der Art, wie Windows Code-Signaturen verifiziert. Weitere Details hierzu im SRD-Blog der US-Kollegen.

Zudem wurde noch die Sicherheitsempfehlung 2755801 (Update für Adobe Flash in Internet Explorer) aktualisiert, um die von Adobe geschlossenen Lücken im Flash Player zu adressieren.

Am Mittwoch, den 11. Dezember liefert ein Webcast um 20.00 Uhr MEZ weitere Antworten rund um die Bulletins. Der Webcast ist anschließend „on demand“ verfügbar.