Microsoft: Umfangreicher Patch Day im Oktober

War der Patch Day im September vergleichsweise ruhig, so gibt es im Oktober wieder mehr Arbeit für Administratoren. Mit den elf Updates liefert Microsoft allerdings eines weniger als ursprünglich angekündigt – den Patch für einen der Windows-Fehler hat man wohl nicht rechtzeitig fertig bekommen. So verbleiben denn fünf Updates für Windows, vier für Office und eines für das .NET-Framework.

Die Lecks in Office werden allesamt als kritisch eingestuft, betroffen sind sowohl Word, Excel als auch Powerpoint, in denen sich jeweils vier Fehler finden. Weitere vier Fehler gibt es zudem in den gemeinsamen Office-Komponenten. Die meisten lassen sich ausnutzen, um Code auszuführen, wobei es bereits genügt, eine entsprechend modifizierte Datei zu öffnen.

Darüber hinaus schließt Microsoft ein kritisches Leck in der Windows Shell. Durch eine fehlerhafte Prüfung von Parametern im ActiveX-Steuerelement WebViewFolderIcon konnte dem Anwender hier schon beim Aufsuchen einer Website Code untergeschoben werden. Zwei Schwachstellen in den XML Core Services werden ebenfalls behoben. Diese hätten einem Angreifer die Möglichkeit gegeben, vertrauliche Daten auszuspionieren oder gar Code einzuschleusen.

Die Sicherheitseinstufung Hoch trägt ein Leck im Windows-Serverdienst, dass sich für DoS-Angriffe ausnutzen lässt. Den Schweregrad Mittel haben Schwachstellen in ASP.NET und im Windows Object Packager. Die eine lässt sich für Cross-Site-Scripting missbrauchen, die andere um beim Besuch einer Website Code auf das System zu schleusen.

Als weniger gefährlich werden zudem drei Fehler in Microsofts IPv6-Implementierung eingestuft, über die sich mit manipulierten Datenpaketen das System lahm legen lässt. (dd)