Das heimliche Update oder der Patch zum Patch des Patches
Mit einem erneuten Release erweitert Microsoft das ohnehin bereits einmal geflickte, kumulative Internet Explorer Update MS06-042 um einen weiteren Patch, der eine neue, bislang unbekannte Sicherheitslücke schließen soll.
Zusätzlich zu den neuen Updates hat Microsoft zum Patchday auch zwei ältere Updates neu aufgelegt: das bereits einmal nachgebesserte kumulative IE-Update in MS06-042 und MS06-040 zum Serverdienst. Letzteres soll laut Christopher Budd aus Microsofts Sicherheitsteam Unverträglichkeiten des Patches beheben. Doch das erneuerte IE-Update birgt Überraschungen.
Group Manager Tony Chor erklärt im IEBlog den Grund für die erneute Modifikation: Man habe von einer weiteren Sicherheitslücke im Internet Explorer erfahren, die einem bereits behobenen Problem ähnele. Es tritt zwar an einer anderen Stelle im Code und auch bei anderen Programmversionen auf. Nichtsdestotrotz hat man den Patch zum neuen Fehler kurzerhand nachträglich in das bereits letzten Monat veröffentlichte, kumulative Internet-Explorer-Update gepackt. Das musste ohnehin schon einmal überarbeitet werden, nachdem es zunächst ein neues Sicherheitsloch aufriss.
Das Problem tritt beim Parsen überlanger URLs auf und trägt die Nummer CVE-2006-3873. Es betrifft neben Internet Explorer 5 auch IE 6, sofern die aktuellen Service Packs für Windows 2003 Server (SP1) oder XP (SP2) nicht installiert sind.
Siehe dazu auch: (ju)
- Cumulative Security Update for Internet Explorer, Microsoft Security Bulletin MS06-042
- Vulnerability in Server Service Could Allow Remote Code Execution, Microsoft Security Bulletin MS06-040
