Am November-Patchday bringt Microsoft wie angekündigt sechs Updates heraus. Fünf davon stufen die Redmonder als "kritisch" ein, eines erhält die Einstufung "hoch". Durch jede der Schwachstellen könnten Angreifer unter Umständen beliebigen Schadcode übers Netz einschleusen und die Kontrolle über ungepatchte Systeme übernehmen.

Wie erwartet schließt Microsoft die Schwachstelle in den XML Core Services (MS06-071), die den Internet Explorer unter Umständen zum Einfallstor für Schadsoftware werden ließen. Laut Advisory ist neben der nicht standardmäßig installierten Version 4.0 auch 6.0 betroffen. Außerdem stopfen die Windows-Entwickler eine bislang offenbar unbekannte Lücke im Arbeitsstationsdienst (MS06-070) von Windows 2000 und XP.

Von dem Sicherheitsloch im Macromedia Flash Player (MS06-069) sind nur XP-Anwender, dann aber sowohl mit 32- als auch 64-Bit-Systemen betroffen. Die Schwachstelle im Microsoft Agent (MS06-68) findet sich durch die Bank in allen Windows-Versionen außer in Windows Vista. Mit dem kumulativen Sicherheitsupdate für den Internet Explorer 5 und 6 (MS06-067) beheben die Entwickler zwei seit September aktiv ausgenutzte Programmierfehler im DirectAnimation-Control daxctle.ocx sowie eine Schwachstelle im HTML-Rendering.

Als einziges November-Update ist das Update für den NetWare-Client (MS06-066) mit der zweithöchsten Stufe "hoch" bewertet. Es betrifft lediglich 32-Bit-Installationen von Windows 2000, XP und Server 2003, sofern der fehlerhafte Netzwerkdienst aktiviert wurde.

Abseits des Patchdays und ohne Ankündigung liefert Microsoft nun die fehlerbereinigte Version 4.100.15.5 der WLAN-Treiber von Broadcom aus. Beim Einsatz einer älteren Version können Angreifer unter Umständen per Funknetz die vollständige Kontrolle über das System übernemen. Um den neuen Treiber zu erhalten, müssen Anwender auf der Windows-Update-Seite den Punkt "Benutzerdefinierte Suche" und dann in der linken Spalte "Hardware, optional" auswählen.

Das Update auf den Internet Explorer 7 ist ebenfalls nicht Teil des November Patchdays. Microsoft hat angekündigt, die neue Version des Browsers allen Anwendern automatisch als Sicherheitsupdate auszuliefern und in einigen englischsprachigen Regionen bereits damit begonnen. In Deutschland soll es laut Microsoft erst ab dem morgigen 15. November soweit sein. Wer den Zeitpunkt des Umstiegs selbst bestimmen möchte, muss deshalb nicht das automatische Update abschalten. Eine Anleitung auf heise Security beschreibt, wie sich das IE-Upgrade verhindern lässt.

Links:
- Quelle
- htMicrosoft Security Bulletin - Zusammenfassung für November 2006