Microsoft stopft WMF-Sicherheitsloch

Der Patch für die gefährliche Windows-Sicherheitslücke wurde am Wochenende bereitgestellt - laut Microsoft "in Rekordzeit".

Die so genannte WMF-Sicherheitslücke, bei der das Laden eines präparierten Bildes im Browser zur Infizierung mit einem Trojaner ausreichen kann, wurde von Microsoft früher als angekündigt geschlossen.

Seit Samstag Mittag ist der Patch auch für deutschsprachige Windows-Versionen auf der MS-Website erhältlich und nötig ist er: Anti-Viren-Firmen warnen mittlerweile vor mindestens einem Wurm und mehreren Websites, die diese Lücke ausnutzen.

Kritik daran, dass Microsoft für die Bereitstellung viel zu lange gebraucht habe, weist man zurück.

"Microsofts Verzögerung ist unentschuldbar", meinte etwa Alan Paller, Forschungschef des bekannten Security-Think-Tanks SANS Institute. "Es gibt keine Ausrede außer Inkompetenz und Missachtung."

• Kritik an Microsofts Flicken-Politik

"In Rekordzeit" sagt Microsoft

Die Sicherheitsaktualisierung sei nach Bekanntwerden "in Rekordzeit" nämlich sieben Werktagen einer Kundengruppe von mehreren Hundert Millionen Anwendern zur Verfügung gestellt worden, schreibt Thomas Lutz von Microsoft Österreich.

Auch wenn Microsoft wie angekündigt und kritisiert, den Patch am 10.1. zur Verfügung gestellt hätte, wäre das noch immer eine weit über dem Branchen-Durchschnitt liegende Entwicklungsgeschwindigkeit gewesen.

Den inoffiziellen Patch des Russen Ilfak Guilfanov sollte man vor dem Einspielen des offiziellen Microsoft-Sicherheitsupdates deinstallieren.

• Der Patch bei Microsoft