Anlässlich seines Mai-Patchdays hat Microsoft wie angekündigt sieben Bulletins herausgegeben. Allerdings täuscht die Gesamtzahl der Bulletins über den Umfang der Patches hinweg, denn das kombinierte Update MS12-034 schließt etliche Lücken in zahlreichen Produkten.

Der Grund hierfür ist eine kritische Schwachstelle bei der Verarbeitung von TrueType-Schriften, die im vergangenen Jahr von der Spionagesoftware Duqu ausgenutzt wurde. Die Lücke wurde im Windows-Kernel zwar bereits am Dezember-Patchday geschlossen, mit Hilfe eines Code-Scanners hat Microsoft den verwundbaren Quellcode nun aber auch noch in zahlreichen weiteren Komponenten aufgespürt; unter anderem in der Bibliothek gdiplus.dll, die von diversen Browsern zum Rendern von Webfonts genutzt wird.

Microsoft will anlässlich seines Mai-Patchdays am kommenden Dienstag insgesamt sieben Bulletins veröffentlichten, die 23 Lücken beheben. Außerdem erklärt das Unternehmen, es habe die Schuldigen für die Veröffentlichung des Microsoft-Demo-Exploits gefunden und aus dem Partnerprogramm ausgeschlossen. Zwei Bulletins schließen kritische Schwachstellen in allen unterstützten Windows-Versionen (ab XP SP3, einschließlich Windows Server). Weitere kritische Sicherheitslücken wird Microsoft laut der Ankündigung in Office, Silverlight und dem .NET Framework schließen. Durch die Lücken kann ein Angreifer potenziell aus der Ferne – etwa wenn eine speziell präparierte Webseite aufgerufen wird – Schadcode ins System einschleusen. Zudem plant der Softwarekonzern, Rechteausweitungslücken (Privilege Escalation) in alle Windows-Versionen ab Vista zu schließen.