Microsoft patcht kritische Lücke in XML Core Services
Microsoft bringt 9 Sicherheitsupdates, die insgesamt 16 Schwachstellen in Windows (ab XP SP3), Office, Internet Explorer, Visual Basic for Applications und Sharepoint Server schließen. Ein Update betrifft ausschließlich Mac-Anwender.
- Ronald Eikenberg
Microsoft hat an seinem Juli-Patchday 9 Sicherheitsupdates herausgegeben, die insgesamt 16 Schwachstellen in Windows (ab XP SP3), Office, Internet Explorer, Visual Basic for Applications und Sharepoint Server schließen. Drei der Updates betreffen kritische Lücken, darunter auch eine in den XML Core Services, die bereits seit über einem Monat aktiv ausgenutzt wird.
Diese Lücke kann dazu führen, dass Schadcode ausgeführt wird – etwa, wenn man mit dem Internet Explorer eine speziell präparierte Webseite besucht. Aber auch in Verbindung mit Office 2003 und 2007 kann die Lücke zum Problem werden. Das zweite "kritische" Update schließt zwei Lücken im Internet Explorer 9, die ebenfalls zur Schadcodeinfektion beim Surfen führen können.
Das dritte Update behebt eine kritische Schwachstelle in den Microsoft Data Access Components, die in allen derzeit unterstützen Windows-Versionen (XP SP3 und aufwärts) enthalten sind. Beim Zugriff auf falsch initialisierte Speicherobjekte kann es zu einem Pufferüberlauf auf dem Heap kommen, was das Einschleusen von Schadcode erlaubt. Die Lücke wurde Microsoft ebenso wie die beiden IE-Lücken vertraulich gemeldet, sie lassen sich allesamt aus der Ferne ausnutzen. Auch die übrigen sechs Sicherheitsupdates solle man zeitnah einspielen: Microsoft stuft ihren Schweregrad mit "hoch" ein. Ein Update betrifft ausschließlich Microsoft Office 2011 für Mac OS X.
Darüber hinaus hat das Unternehmen als Vorsichtsmaßnahme eine Reihe seiner CAs auf die Liste nicht vertrauenswürdigen Herausgeber gesetzt, weil deren privater RSA-Schlüssel kürzer als 1024 bit ist. Das gilt als problematisch, da man dadurch in absehbarer Zeit anhand des öffentlichen Schlüssel den dazugehörigen privaten berechnen kann. Ab August soll Windows allen Zertifikaten misstrauen, deren CAs RSA-Schlüssel verwenden, die kürzer als 1024 bit sind – auch dann, wenn die Zertifikate eigentlich noch gültig sind und von einer vertrauenswürdigen CA ausgestellt wurden.
Update vom 11.07.2012, 17.40: Im letzten Absatz wurde fälschlicherweise behauptet, dass Microsoft CAs das Vertrauen entziehen will, deren privater RSA-Schlüssel 1024 bit lang ist. Tatsächlich betrifft es nur CAs, deren Schlüssel kürzer als 1024 bit ist. (rei)
