Der letzte planmäßige Patchday des Jahres 2006 ist nun veröffentlicht worden. Wie der Microsoft Security Bulletin Summary für Dezember 2006 zu entnehmen ist, hat Microsoft dabei insgesamt sieben Updates bereit gestellt. Es findet sich jedoch auch diesmal kein Sicherheitsupdate für die Zero-Day-Lücken in Word.

11 Sicherheitslücken

In sieben Bulletins beschreibt und schließt Microsoft 11 Sicherheitslücken. Der Internet Explorer sowie der Media Player zählen diesmal zu den Applikationen mit den kritischsten Lücken und damit wichtigsten Updates. Beim IE sollen vier Lücken geschlossen werden und beim Windows Media Player 9 und 10, soll die Möglichkeit beim Parsen manipulierter ASX- und ASF-Dateien Schadcode untergeschoben zu bekommen, bereinigt sein. Zwei geschlossene Lücken im IE 6 ermöglichten es AngreiferInnen BesucherInnen von Webseiten mit Schädlingen zu infizieren. Der Internet Explorer 7 soll von keiner der Lücken betroffen sein, so Microsoft.

WMI-Broker-Objekt

Die seit sechs Wochen bekannte Lücke in WMI-Broker-Objekt des ActiveX-Control unter Visual Studio 2005 ist nun ebenfalls geschlossen. Die Lücke fand sich allerdings nicht in der kompletten Serie der Entwicklungsumgebung, Sowohl Windows 2000, XP und 2003 (jeweils alle Service Packs) waren für Angriffe über das Netzwerkmanagementprotokoll SNMP verwundbar, sofern es installiert war. Microsoft stufte den Fehler deshalb nur als "Important" ein und hat ihn nun bereinigt. Auch Lücken in Outlook Express 5.5 und 6 wurden geschlossen.(red)