Wie angekündigt hat Microsoft anlässlich seines Mai-Patchdays sieben Bulletins herausgegeben. Die Gesamtzahl der Bulletins täuscht allerdings über den Umfang der Patches hinweg, denn das kombinierte Update MS12-034 schließt etliche Lücken in zahlreichen Produkten.

Eine kritische Schwachstelle bei der Verarbeitung von TrueType-Schriften, die im vergangenen Jahr von der Spionagesoftware Duqu ausgenutzt wurde, ist der Grund hierfür. Mit Hilfe eines Code-Scanners hat Microsoft den verwundbaren Quellcode nun in zahlreichen Komponenten aufgespürt; unter anderem in der Bibliothek gdiplus.dll, die von diversen Browsern zum Rendern von Webfonts genutzt wird.

Ausserdem enthielten einige der verwundbaren Dateien weitere Lücken, die Microsoft ebenfalls mit diesem Bulletin patcht. Es schließt Lücken in sämtlichen noch unterstützten Windows-Versionen, Office, dem .NET Framework und Silverlight.

Microsoft schließt mit dem Bulletin MS12-029 eine kritische Lücke bei der Verarbeitung von RTF-Dokumenten. Sie betrifft Office 2003, 2007 und das Office Compatibility Pack SP2 und 3. Auch in Office für Mac 2008 und 2011 wurde die Schwachstelle behoben. MS12-035 behebt zwei weitere kritische Lücken im .NET Framework.

Die vier übrigen Bulletins beheben Lücken mit dem zweithöchsten Schweregrad und werden von Microsoft als "wichtig" eingestuft. Diese Schwachstellen betreffen Office, Visio Viewer 2010 und die Firewall und den TCP-Stack von Windows.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE