Dezember-Patchday bei Microsoft und Adobe
Microsoft hat kritische Updates für Windows, Internet Explorer, Word und Co. herausgegeben, Adobe unter anderem für Flash Player und AIR.
Microsoft und Adobe haben ihre Dezember-Patchdays abgehalten und dabei zahlreiche kritische Lücken geschlossen. Während Microsoft die meisten Windows-Versionen, den Internet Explorer, Word und einige Server-Produkte abgesichert hat, gab es von Adobe Patches für den Flash Player, AIR und ColdFusion.
Wer Windows benutzt, muss am Mittwochmorgen mit einem Neustart rechnen: Mit einem der sieben Dezember-Patch-Pakete (Bulletins) schließt Microsoft zwei kritische Lücken in sämtlichen Windows-Versionen, durch die ein Angreifer mittels speziell präparierter TrueTyp- oder OpenFont-Schritfarten [1] Schadcode ins System einschmuggeln kann.
Ebenfalls kritisch ist ein Speicherfehler bei der Verarbeitung von Dateinamen [2] in Windows XP bis 7 und Server 2008, den ein weiterer Patch behebt. Darüber hinaus hat Microsoft einen Heap-Overflow in der DirectPlay-API [3] der meisten Windows-Versionen beseitigt, der beim Öffnen on Office-Dokumenten mit eingebetteten Mediendateien ebenfalls dazu führen kann, dass der Rechner Schadcode ausführt.
Außerdem gab es ein kritisches Sammelupdate für den Internet Explorer [4] und ein Patch-Paket, das in Word 2003 bis 2010 eine kritische Lücke beim Verarbeiten von RTF-Dokumenten [5] behebt. Von Letzerer sind auch der Word Viewer, das Office Compatibility Pack, der SharePoint Server 2010 sowie die Office Web Apps 2010 betroffen. Des Weiteren gab es ein kritisches Update für Exchange 2007 und 2010 [6] sowie ein wichtiges für Windows Server 2008 bis 2010 [7].
Adobe hat indes mehrere Speicherfehler in Flash und AIR [8] behoben, die sich ebenso zum Einschleusen von Schadcode eignen. Die aktuellen Versionen lauten:
| Plattform | Version | Bezugsquelle |
| Windows | 11.5.502.135 |
Adobe [9] |
| Mac OS X | 11.5.502.136 | Adobe [10] |
| Linux | 11.2.202.258 | Adobe [11] |
| Android 4.x | 11.1.115.34 | Automatisch über Google Play (nur für Geräte, auf denen Flash vor dem 15. August 2012 installiert wurde) |
| Android 3.x/2.x | 11.1.111.29 | Automatisch über Google Play (nur für Geräte, auf denen Flash vor dem 15. August 2012 installiert wurde) |
| Google Chrome | 11.5.31.5 | Google (Chrome aktualisiert sich automatisch) |
| IE 10 (Windows 8 und Server 2012) | 11.3.377.15 | Windows Update |
Zudem gab es einen Hotfix [12] für Adobes ColdFusion 10 (und älter), der verhindert, dass in Shared-Hosting-Situationen ein Ausbruch aus der Sandbox [13] gelingt. (rei [14])
URL dieses Artikels:
https://www.heise.de/-1765869
Links in diesem Artikel:
[1] http://technet.microsoft.com/en-us/security/bulletin/ms12-078
[2] http://technet.microsoft.com/de-de/security/bulletin/ms12-081
[3] http://technet.microsoft.com/en-us/security/bulletin/ms12-082
[4] http://technet.microsoft.com/de-de/security/bulletin/ms12-077
[5] http://technet.microsoft.com/de-de/security/bulletin/ms12-079
[6] http://technet.microsoft.com/de-de/security/bulletin/ms12-080
[7] http://technet.microsoft.com/de-de/security/bulletin/ms12-083
[8] http://www.adobe.com/support/security/bulletins/apsb12-27.html
[9] http://www.adobe.com/go/getflash
[10] http://www.adobe.com/go/getflash
[11] http://www.adobe.com/go/getflash
[12] http://helpx.adobe.com/coldfusion/kb/coldfusion-security-hotfix-apsb12-26.html
[13] http://www.adobe.com/support/security/bulletins/apsb12-26.html
[14] mailto:rei@heise.de
Copyright © 2012 Heise Medien