Microsoft schließt mit dem aktuellen Patch zwei weitere Sicherheitslücken, die als "kritisch" eingestuft wurden und einem dritten theoretisch die Kontrolle über einen derart ungeschützten PC ermöglichen.
Die erste Lücke betrifft speziell modifizierte, eingebettete Web-Schriftarten. Ist ein Benutzer mit Administratorenrechten angemeldet und besucht eine entsprechend modifizierte Website, kann ein Angreifer diese Rechte übernehmen, Programme installieren und ausführen oder weitere Konten mit administrativen Benutzerrechten erstellen, über die er Zugriff auf den Rechner behält.
Zudem liegt in Microsoft Outlook und Microsoft Exchange Server eine Sicherheitsanfälligkeit hinsichtlich der Codeausführung von Remotestandorten aus vor.
Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete TNEF-Nachricht erstellt, die eine Codeausführung von Remotestandorten aus ermöglicht, wenn ein Benutzer manipulierte E-Mail-Nachricht öffnet oder auch nur in der Vorschau betrachtet.
Microsoft liefert Erläuterungen und Links zu den erforderlichen Updates in der Zusammenfassung des Microsoft Security Bulletin für Januar 2006.
