13 Patches für Windows und Office [Update]

Zum monatlichen Patch-Day stellt Microsoft insgesamt 13 Patches bereit. Sie betreffen unter anderem den Internet Explorer, MS-Office, PNG-Bibliotheken, das SMB-Protokoll und OLE/COM.

In Pocket speichern vorlesen Druckansicht 438 Kommentare lesen
Lesezeit: 3 Min.

Zum monatlichen Patch-Day stellt Microsoft insgesamt 13 Patches bereit, mehrere davon sind als kritisch eingestuft. Die Lücken betreffen vom Internet Explorer über Messenger, Media Player und Microsoft Office bis hin zum Netzwerkprotokoll SMB und die Objektkommunikation via OLE/COM nahezu die gesamte Bandbreite von Windows und dessen Schnittstellen und Applikationen. Auf einem normalen Windows XP System mit Service Pack 2 und allen bisherigen Patches installierte Windows-Update ganze neun Updates.

Insbesondere stellt Microsoft gleich zwei Patches bereit, um die Drag&Drop-Probleme des Internet Explorer in den Griff zu bekommen (MS05-008 und MS05-014). Über sie können speziell präparierte Web-Seiten Programme installieren und ausführen. Das gleiche gilt für eine weitere Schwachstelle im ActiveX-Control für DHTML-Editing (MS05-013). Der c't-Browsercheck demonstriert seit Jahren immer wieder Sicherheitsprobleme mit diesem ActiveX-Control, das Microsoft als "Sicher für Scripting" markiert hat. Des weiteren enthält die Hyperlink-Objektbibliothek einen ungeprüften Puffer, der sich über spezielle Links in E-Mails oder Web-Seiten so überschreiben lässt, dass fremder Code zur Ausführung kommt (MS05-015).

Ein kritischer Fehler im Windows-Protokoll Server Message Block (SMB) lässt sich sogar direkt übers Netz ausnutzen und hat damit "Wurm-Potenzial" (MS05-011). Allerdings schränkt Microsoft ein, die Lücke ließe sich dabei nur über so genannte Broadcasts ausnutzen, die ein lokales Netz in der Regel nicht verlassen. Über das Netzwerk lässt sich auch ein Fehler in der Verarbeitung von Named Pipes ausnutzen, um Nutzernamen auszuspähen, die eine Verbindung zu freigegeben Resourcen haben. Laut MS05-007 ermöglicht der Fehler aber kein Einschleusen von Code.

Microsofts Objekt-Schnittstellen OLE und COM enthalten ebenfalls kritische Sicherheitslöcher (MS05-012). Diese gefährden laut Microsoft insbesondere Exchange Server, da sie sich dort -- anders als bei anderen betroffenen Programmen -- eventuell ohne Benutzerinteraktion übers Netz ausnutzen lassen. Betreiber von Windows-Server-Produkten sollten auch einen Blick auf MS05-010 werfen, das einen kritischen Fehler im Lizenz-Logging-Dienst beschreibt. Außerdem lässt sich das Sicherheitskonzept des ASP.Net-Frameworks aushebeln, um Zugang zu ASP.Net-Servern zu erlangen (MS05-004).

Nach den JPEG-Bildern hat sich auch in den Bibliotheken für die Verarbeitung von PNG-Dateien ein Buffer-Overflow gefunden (MS05-009). Bei bestimmten Versionen des Windows Media Players und Windows/MSN Messenger können Angreifer über speziell präparierte Bilder eigenen Code ausführen. Die aktuelle Version Windows Media Player 10 ist jedoch nicht betroffen.

Den Reigen komplettiert ein Buffer-Overflow in Microsofts Office-Paketen, der sich ausnutzen lässt um Code auszuführen (MS05-005) und eine Cross-Site-Scripting-Lücke in Sharepoint (MS05-006). Die Updates stehen über den Windows-Update-Service bereit. Anwender sollten sie baldmöglichst einspielen, da damit zu rechnen ist, dass bald Exploits für die Schwachstellen in Umlauf kommen und aktiv genutzt werden. Bei der Installation wird auch eine neue Version des Tools zum Entfernen bösartiger Software angeboten.

Für einige der kritischen Sicherheitslücken will Microsoft im Rahmen des erweiterten Supports auch Patches für ältere Windows-Versionen wie Windows ME und 98(SE) bereitstellen, die eigentlich nicht mehr unterstützt werden.

Siehe dazu auch: (ju)