Gleich 49 Sicherheitsanfälligkeiten in Microsoft-Produkten werden mit den gestern Dienstag veröffentlichten Patches behoben. Allein zehn davon schliesst das Security Update MS10-071 im Internet Explorer (IE). Viele dieser Fehler ermöglichen das entfernte Ausführen von schädlichem Code (Remote Code Execution), sofern ein Anwender präparierte Webseiten besucht.
Ebenfalls von extern lässt sich eine Schwachstelle in der Embedded Open Type (EOT) Font Engine ausnutzen. Auch in diesem Fall geht die grösste Gefahr von manipulierten Webseiten aus, denn EOT-Schriftarten werden meist im Internet verwendet. Mit dem Sicherheitsupdate MS10-076 soll das Problem der Vergangenheit angehören.
Das dritte kritische Security Bulletin MS10-077 soll eine Sicherheitslücke im Microsoft.NET-Framework schliessen. Besucht ein Anwender eine Homepage, die XAML-Browser-Anwendungen unterstützt, droht ebenfalls eine Remote Code Execution. Der Fehler betrifft allerdings ausschliesslich 64-Bit-Versionen von Windows.
Da die drei genannten Patches die Sicherheit beim Web-Surfen steigern, sollten sowohl Unternehmen als auch Privatanwender ein besonderes Augenmerk darauf legen. Obgleich als kritisch eingestuft, betrifft das Security Bulletin MS10-075 Firmen eher weniger. Denn damit behebt Microsoft eine Schwachstelle in der Netzwerk-Freigabe des Windows Media Player.
Eine weitere Schwachstelle gilt zwar nicht als kritisch, ist aber dennoch erwähnenswert: Das Security Bulletin MS10-073 korrigiert neben anderen Kernel-Anfälligkeiten einen Fehler, der in Verbindung mit der Verbreitung von Stuxnet steht. Ein Angreifer müsste laut Microsoft aber gültige Zugangsdaten und lokalen Zugriff zu einem Rechner haben, um die Schwachstelle auszunutzen.
Letztlich bleibt festzuhalten, dass ein Grossteil der Security Bulletins ältere Software-Versionen betrifft. So sind vom kumulativen IE-Patch weder die Browser-Versionen 7 noch 8 betroffen, sondern nur der Internet Explorer 6.
