Januar-Patchday: Microsoft kündigt Update für kritische Windows-Lücke an

Microsoft wird am ersten Patchday des Jahres 2011 zwei Updates bereitstellen. Eines stopft eine kritische Lücke in allen Windows-Versionen, das andere behebt einen Fehler in Windows Vista, dessen Risiko als „hoch“ eingestuft wird.

Zwei zuletzt bekannt gewordene Anfälligkeiten in der Graphics Rendering Engine von Windows (Advisory 2490606) beziehungsweise Internet Explorer (Advisory 2488013) bleiben ungepatcht. „Wir überwachen weiterhin beide Anfälligkeiten, und für das Advisory 2488013 sehen wir die ersten zielgerichteten Angriffe“, heißt es im Blog des Security Response Center. Microsoft empfiehlt betroffenen Kunden, die in den Sicherheitswarnungen beschriebenen Behelfslösungen anzuwenden.

Der Januar-Patchday wird auch keine Lösung für eine Sicherheitslücke im Internet Explorer bringen, die der Google-Sicherheitsforscher Michal Zalewski entdeckt hatte. Durch ein Versehen waren Details über die Schwachstelle nach China durchgedrungen. Das Sicherheitsunternehmen Vupen hat inzwischen bestätigt, dass das kritische Loch den Internet Explorer 8 betrifft.

„Mit nur zwei Sicherheitsbulletins in diesem Monat ist es ein großer Schock, dass sich Microsoft nicht mit den beiden Schwachstellen befasst, die schon ausgenutzt werden“, sagte Josh Abraham, Sicherheitsforscher bei Rapid7. „Ich würde darauf wetten, dass ein außerplanmäßiges Update erscheinen wird, sobald Hacker die beiden Exploits einsetzen.“

Sophos hat darauf hingewiesen, dass derzeit wieder gefälschte E-Mails mit der Betreffzeile „Update your Windows“ im Umlauf sind, die angeblich von Microsoft stammen und einen Patch enthalten. Bei der angehängten ausführbaren Datei handelt es sich jedoch um einen Wurm. Microsoft verteilt Updates niemals per E-Mail.