Microsoft-Patchday: 14 Lücken weniger
Fünf Updates schließen neun kritische Sicherheitslücken, davon allein sieben im Internet Explorer. Bei letzeren genügt oftmals der Besuch einer präparierten Webseite, um mit Schadcode infiziert zu werden.
Anwender des Internet Explorer 6 können aufatmen: Die seit 3 Wochen offene kritische createTextRange-Lücke im Browser wird durch eines der heute veröffentlichten Updates geschlossen. Wer sich das dazugehörige Security Bulletin MS06-013 anschaut, wird allerdings überrascht sein, denn die Redmonder schließen mit dem Update noch gleich neun weitere Sicherheitslücken. Sechs davon stuft Microsoft als kritisch ein, da Angreifer darüber PCs mit Schadcode infizieren können. Darunter fällt auch die bekannt gewordene HTA-Lücke, für die aber -- anders als bei der createTextRange-Lücke -- noch keine Exploits kursieren.
Gänzlich unbekannt waren bis dato zwei Fehler, die bei der Verarbeitung von HTML-Code und beim Parsen von HTML-Tags auftreten. Hier dürfte bereits der Besuch einer manipulierten Webseite ausreichen, um etwa einen Trojaner untergeschoben zu bekommen. Anwender sollten so bald wie möglich die Updates installieren, sofern sie nicht bereits über das automatische Update mit den Software-Pflastern versorgt werden.
Das kumulative IE-Update enthält neben den insgesamt zehn Sicherheits-Patches auch den Eola-Patch, der einen Patentstreit mit der gleichnamigen Firma beilegen soll, indem er eine Aktivierung von ActiveX-Komponenten einbaut. Es steht zu hoffen, dass niemand auf die Sicherheits-Updates verzichtet, um das alte Verhalten des Internet Explorer beizubehalten. Bei eventuellen Inkompatibilitäten räumt ein Patch gegen den Patch weitere zwei Monate Übergangsfrist ein.
Ein weiteres Update stopft ein großes Loch im Windows Explorer, in das man allerdings nur beim Surfen im Internet reinfallen kann: Leitet ein manipulierter Webserver den Besucher auf einen Dateiserver um, so führt der Windows Explorer über präparierte COM-Objekte eingeschleusten Code aus. Details zu dieser doch etwas erklärungsbedürftigen Lücke veröffentlicht Microsoft wie gewohnt nicht. Es ist aber davon auszugehen, das für die im Bulletin MS06-015 angedeutete Lücke bald nähere Beschreibungen und Exploits auftauchen werden.
Als kritisch stuft Bulletin MS06-014 einen Fehler in Microsofts Data Access Components (MDAC) ein. Dort lässt sich das RDS.Dataspace-ActiveX-Control missbrauchen, um einen Windows-PC unter seine Kontrolle zu bringen. Remote Data Service (RDS) ist eine Funktion von ActiveX Data Objects (ADO), um Daten zwischen Client und Server auszutauschen. Für einen erfolgreichen Angriff, muss ein Opfer aber eine manipulierte Webseite besuchen.
Das Update zum Schließen der in MS06-016 beschriebene Lücke in Outlook Express 5.5 und 6 stuft der Softwarekonzern nur noch als "Wichtig" ein, obwohl sich darüber ebenfalls Schadcode einschleusen und starten lässt. Allerdings muss ein Angreifer sein Opfer davon überzeugen, ein präpariertes Windows Address Book (.wab) zu laden, um die Lücke auszunutzen. Schließlich beseitigt Microsoft noch einen minderschweren Fehler in FrontPage Server Extensions, die sich für Cross-Site-Scripting-Angriffe ausnutzen ließen.
Die Lücken sind im Wesentlichen unabhängig vom installierten Service Pack in Windows 2000, XP und Server 2003 zu finden. Anwender von Windows 2000 sollten so bald wie möglich Windows Update aufsuchen. XP und Server 2003 werden automatisch aktualisiert, sofern das automatische Update aktiviert ist.
Siehe dazu auch: (dab)
- Übersicht der April-Updates (Deutsch) von Microsoft
- Übersicht der April-Updates (Englisch) von Microsoft
