Bild nicht mehr verfügbar.

Microsoft schließt im Jänner nur eine Lücke.

Foto: AP

Zum ersten Patchday des Jahres 2010 veröffentlicht Microsoft mit MS10-001 nur ein Update für eine Lücke unter Windows. Ein vertraulich gemeldetes Leck im Embedded OpenType-Schriftartmodul (EOT) ermöglicht es Angreifern, die Kontrolle über ein System zu erlangen.

Alle Windows-Versionen betroffen

Angreifer können mit einer speziell gestalteten EOT-Schriftart über Anwendungen wie Internet Explorer, PowerPoint oder Word schädlichen Code auf ein System einschleusen. Je nachdem mit welchen Rechten ein Benutzer am System angemeldet ist, kann der Angreifer Programme installieren, Daten ändern und neue Konten mit Admin-Rechten einrichten. Betroffen sind alle Windows-Version, wobei die Lücke nur für Windows 2000 als kritisch eingestuft wird.

Exploit wahrscheinlich

Ausgenutzt wird die Sicherheitslücke offenbar noch nicht. Das Unternehmen geht aber davon aus, dass bald ein Exploit dafür in Umlauf gebracht wird. Wie heise berichtet hat der Konzern eine weitere Lücke im Internet Information Server 6.0 (IIS) noch nicht gepatcht. Angreifer könnten mithilfe der Lücke eigene Skripte auf den Windows-Webserver einschleusen. Auch eine im November bekannt gewordene DoS-Schwachstelle unter Windows 7 und Server 2008 R2 sowie ein Fehler beim Cross-Site-Scripting-Filter von Internet Explorer 8 sind noch immer offen. (red)