Am gestrigen Patch-Day für Dezember hat Microsoft sieben Sicherheits-Bulletins veröffentlicht, die insgesamt elf Fehler beheben sollen - darunter zwei im Windows Media Player. Außen vor blieben allerdings die beiden Zero-Day-Lücken in Microsofts Word, die seit einer Woche - dem Softwarekonzern zufolge in begrenztem Ausmaß - ausgenutzt werden.

Microsoft hat den zunächst sechs angekündigten Patches in letzter Minute ein als kritisch eingestuftes Security-Update (MS06-078) hinzugefügt. Es soll unter anderem eine seit Ende November bekannte und ebenfalls bereits ausgenutzte Sicherheitslücke im Windows Media Format schließen, das vom Windows Media Player verwendet wird. Der Fehler liegt in der Art und Weise, wie die Software Medien-Dateien im ".asx"-Format verarbeitet. Gleichzeitig behebt der Patch einen zweiten Bug im Windows Media Player bei der Verarbeitung von "asf"-Dateien.

Ein weiteres kritisches Security-Update (MS06-072) soll vier Fehler im Internet Explorer (IE) beseitigen, während ein drittes Bulletin (MS06-073) wie vermutet die Ende Oktober gemeldete, extrem kritische Lücke im ActiveX-Control WMI Object Broker von Visual Studio 2005 schließt.

Darüber hinaus hat Microsoft vier als "wichtig" bezeichnete Security-Bulletins veröffentlicht. Sie sollen Schwachstellen in Windows und Outlook Express beheben, die Angreifern unter anderem die Ausführung beliebigen Codes ermöglichen. Sicherheitsexperten empfehlen Administratoren, besonderes Augenmerk auf den Patch MS06-074 zu richten, der eine Schwachstelle im Simple Network Monitoring Protocol (SNMP) beseitigt. Zwar sei SNMP in Windows-Systemen standardmäßig deaktiviert, in Unternehmen aber dennoch weit verbreitet, warnt etwa Gunter Ollmann, Director des Internet Security Systems (ISS) X-Force-Teams von IBM. Seiner Ansicht nach handelt es sich dabei um das in diesem Monat wichtigste Security-Update für Firmenkunden. (kf)