Microsoft Patchday April 2012

Mit dem vierten Patchday dieses Jahres schließt Microsoft 11 weitere Sicherheitslücken, darunter fünf im Internet Explorer. Neben diesen Updates werden vier als kritisch und zwei als wichtig eingestuft.

Wie auch in der Vergangenheit, lassen sich die kritischen Sicherheitslücken dazu ausnutzen eine Remote Code Execution (RCE) aus der Ferne auszuführen. Das Security Bulletin (MS12-023) schließt fünf privat gemeldete Sicherheitslücken im Internet Explorer, die Angreifern ermöglichen können, sich die Rechte des angemeldeten Benutzers zu verschaffen und schadhaften Code auf dem Computer auszuführen. Ermöglicht wird dies, wenn der Anwender eine manipulierte Webseite besucht. Betroffen von dem Sicherheitspatch sind die Internet Explorer Versionen 6 bis 9.

Das Security Bulletin MS12-024 behebt eine weitere RCE-Schwachstelle, die alle Betriebssysteme betrifft, insbesondere der Itanium-basierten Windows-Server sowie Server-Core-Versionen. Die in diesem Security Bulletin geschlossene Sicherheitslücke kann durch eine Portable Executable, sprich signierte ausführbare Dateien, ausgenutzt werden.

.NET-Patch

 

Das Sicherheitsupdate MS12-025 behebt einen Fehler im .NET-Framework, das die Parameter-Prüfung korrigiert. Die Sicherheitslücke ist in allen .NET-Versionen vorhanden und betrifft sämtliche Windows-Betriebssysteme. Die RCE-Schwachstelle kann über Browser ausgenutzt werden, die XAML-Browseranwendungen (XBAPs) unterstützt. Die RCE kann aber auch über einen Internet Information Server (IIS) ausgeführt werden.

Der vierte kritische Security Bulletin MS12-027 wird für die allgemeinen Windows-Steuerelemente bereitgestellt. Zu den anfälligen Microsoft-Anwendungen zählen verschiedenste Versionen von Microsoft Office, SQL Server, Biztalk und Commerce Server, Visual FoxPro sowieVisual Basic 6.0 Runtime.

In Microsoft Office findet sich im Übrigen noch eine weitere RCE-Schwachstelle, die mit dem Update MS12-028 behoben wird. Dieser Patch gilt jedoch nur als wichtig. Gleiches gilt fürs Security Bulletin MS12-026, das zwei Sicherheitslücken im Unified Access Gateway (UAG) behebt.

Wir empfehlen Ihnen die bereitgestellten Sicherheitsupdates immer automatisch zu beziehen, sodass Sie bei neuen Updates sofort benachrichtigt werden und die Updates schnell einspielen können.

Weitere Diskussionen und Empfehlungen finden Sie in unserem Forum, auf facebook oder im Twitter Kanal.