Der zweite Dienstag im Monat versetzt Administratoren in erhöhte Alarmbereitschaft. Dann gibt Microsoft Flicken für Sicherheitsprobleme in Windows und anderer Software aus.
von Jürgen Donauer (TecChannel-Redakteur)
Insgesamt sechs Sicherheitsanweisungen gibt Microsoft für den Patchday April 2012 aus. Vier davon sind als kritisch eingestuft und die anderen beiden als wichtig. Für vier der Schwachstellen ist Exploit-Code als wahrscheinlich eingestuft. Für zwei der Sicherheitsanweisungen sieht Microsoft eher keine direkte Angriffsgefahr. Insgesamt schließen die Updates elf Sicherheitslücken.
MS12-023 ist ein kumulatives Sicherheitsupdate für den Internet Explorer und behebt fünf vertraulich gemeldete Sicherheitslücken: CVE-2012-0168, CVE-2012-0169, CVE-2012-0170, CVE-2012-0171 und CVE-2012-0172. Mindestens eine der Lücken lässt sich für Ausführung beliebigen Codes ausnutzen, wenn ein Anwender eine speziell manipulierte Webseite besucht. Das Sicherheitsupdate wird für Internet Explorer 6, 7, 8 und 9 auf Windows-Clients als kritisch eingestuft. Auf Servern ratifiziert Microsoft das Problem als Mittel. Nach einer Installation des Updates ist ein Neustart notwendig.
MS12-024 (CVE-2012-0151) lässt sich ebenfalls für das Ausführen beliebigen Codes ausnutzen. Die Anweisung kümmert sich um eine Sicherheitslücke und betrifft Windows XP, Vista, 7, Server 2003, Server 2008 und Server 2008 R2. Schuld ist eine Sicherheitslücke in WinVerifyTrust Signature Validation, wenn ein Anwender eine speziell manipulierte PE-Datei (protable execution) ausführt. Ein Neustart ist erforderlich, um die Änderungen wirksam zu machen.
MS12-025 (CVE-2012-0163) kümmert sich um eine Sicherheitslücke im .NET Framework. Durch speziell manipulierte Webseiten könnte sich beliebiger Code ausführen lassen. Voraussetzung ist, dass der benutzte Browser XAML-Anwendungen ausführen kann. Allerdings ist die Schwere der Schwachstelle auch von den Rechten des Anwenders abhängig. Microsoft liefert das Sicherheits-Update für Microsoft .NET Framework 1.0 Service Pack 3, 1.1 Service Pack 1, 2.0 Service Pack 2, 3.5.1 und 4 unter allen unterstützten Editionen von Microsoft Windows aus. Die Lücke ist als kritisch eingestuft.
MS12-026 (CVE-2012-0146, CVE-2012-0147) kümmert sich um zwei Schwachstellen in Microsoft Forefront Unified Access Gateway (UAG). Mit speziell manipulierten Anfragen an den UAG-Server lassen sich unter Umständen sensible Daten ausspionieren. Betroffen sind Microsoft Forefront Unified Access Gateway 2010, Update 1 und Update 2. Exploit-Code für dieses Problem sieht Microsoft als eher unwahrscheinlich. Die Lücken sind als wichtig und nicht kritisch eingestuft.
MS12-027 (CVE-2012-0158) behandelt eine Sicherheitslücke in den allgemeinen Windows-Steuerelementen. Genau genommen ist die Datei MSCOMCTL.OCX betroffen. Das Loch ist als kritisch eingestuft und lässt sich ausnutzen, wenn ein Anwender eine speziell manipulierte Webseite besucht. Besonders die Bandbreite der Sicherheitslücke macht sie gefährlich. Betroffen sind alle unterstützten Editionen von Office 2003, Office 2007, Office 2010 (außer x64-basierten Versionen), SQL Server 2000 Analysis Services, SQL Server 2000 (außer Itanium-basierten Ausgaben), SQL Server 2005 (außer SQL Server 2005 Express Edition, aber einschließlich SQL Server 2005 Express Edition mit Advanced Services), SQL Server 2008, SQL Server 2008 R2, BizTalk Server 2002, Commerce Server 2002, Commerce Server 2007, Commerce Server 2009, Commerce Server 2009 R2, Visual FoxPro 8.0, Visual FoxPro 9.0 und Visual Basic 6.0 Runtime. Exploit-Code ist laut Microsoft wahrscheinlich.
MS12-028 (CVE-2012-0177) betrifft eine Sicherheitslücke in Microsoft Office und Microsoft Works. Die Sicherheits-Anweisung ist als wichtig klassifiziert. Unter Umständen könnte ein Angreifer beliebigen Code ausführen, wenn der Anwender eine speziell gestaltete Works-Datei öffnet. Cyberkriminelle könnten sich dieselben Rechte, wie der Anwender erschwindeln. Somit hängt die Schwere der Lücke ein bisschen von den Benutzer-Rechten ab. Betroffen sind Microsoft Office 2007 Service Pack 2, Works 9 und den Microsoft-Dateikonverter für Works 6-9.
Wie immer sollten Anwender und Administratoren die Updates zeitnah einspielen. (jdo/kv)