Sechs kritische Lücken
Von den zehn bereitgestellten Updates beheben sechs "kritische" Lücken, eine eine als "Hoch" eingestufte Lücke und zwei Löcher, die als "Mittel" in der Gefährdungsskala eingereiht wurden. Das 10. Update beseitigt ein Problem mit niedriger Relevanz TCP/IP-Stack.
Internet Explorer und Office
Unter den betroffenen Produkten finden sich neben Windows auch wieder einige Office-Komponenten. So behebt ein Update vier Fehler in Ecxel, aufgrund derer Code eingeschleust und ausgeführt werden könnte. Auch im Intenret Explorer wurde eine Schwachstelle geschlossen, die bereits aktiv ausgenutzt wurde. Diese so genannte WebView-Schwachstelle wird nun geflickt, allerdings müssen die AnwenderInnen einen möglicherweise installierten inoffiziellen Patch davor zunächst deinstallieren. Die Sicherheitslücke im Multimedia Control daxctle.ocx für DirectAnimation steht weiter offen. Auch vier Schwachstellen in PowerPoint, hier können AngreiferInnen mit manipulierten Dokumenten die Kontrolle über ein System übernehmen, sollen nun dicht sein. Auch Word bekam sein Update und soll nun über eine aktiv ausgenutzte Schwachstelle weniger verfügen. Drei weitere Lücken, die bislang unbekannt geblieben sind, wurden ebenfalls geschlossen. Ein weiteres Update aus dem Patchday-Paket schließt vier allgemeine Lücken in Microsoft Office.
XML und Server
Als "kritisch" wurden Lücken im XML-Core-Service eingestuft, die bei der Verarbeitung von Extensible Stylesheet Language Transformations (XSLT) einen Pufferüberlauf auslösen können und dadurch eingeschleusten Programmcode ausführbar machen. In den Server-Services finden sich zwei "Hoch"-eingestufte Löcher, die es ermöglichen die Server lahmzulegen, und nun ebenfalls gestopft wurden. Das .Net-Framework 2.0 erhielt einen "Mittel"-Patch für gegen ein Cross-Site-Scripting-Leck.
Probleme - nun gelöst