Microsoft dichtet Windows und Internet Explorer ab

Der Patch Day im Dezember bringt ein Sammelupdate für den Internet Explorer, mit dem man gleich vier Speicherfehler behebt. Drei werden durch eine fehlende Initialisierung von Objekten hervorgerufen, einer bei bestimmten Aufrufen von DHTML-Objekten. Sie alle lassen sich ausnutzen, um beim Öffnen einer manipulierten Website Code zu laden und auszuführen.

Die beiden anderen als kritisch eingestuften Security Bulletins gibt es für DirectX und das Windows Media-Format. Die beim Streaming verwendete DirectX-Komponente DirectShow prüft Parameter von SAMI- sowie AVI- und WAV-Dateien nicht richtig, und die Windows Media Format Runtime schlampt bei der Analyse von ASF-Dateien. Auch diese Lecks lassen sich missbrauchen, um Code auszuführen.

Darüber hinaus stopft Microsoft Sicherheitslücken im Protokoll SMBv2, das unter Windows für die Dateifreigabe verantwortlich ist, im Message-Queuing-Dienst sowie im Windows-Kernel und Macrovision-Treibern. Die Lecks tragen die Sicherheitseinstufung hoch – die ersten beiden erlauben es, Code auszuführen, die beiden anderen, sich zusätzliche Rechte zu erschleichen. (dd)