Microsoft schließt am August-Patchday 26 Lücken

Bei Windows, Internet Explorer, Office, Visual FoxPro, Visual Basic, Exchange Server sowie weiteren Server-Produkten wurden zahlreiche kritische Lücken geschlossen.

In Pocket speichern vorlesen Druckansicht 72 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Anlässlich seines August-Patchdays hat Microsoft neun Sicherheits-Bulletins herausgegeben, die insgesamt 26 Sicherheitslücken schließen. Fünf der Bulletins beheben kritische Schwachstellen, durch die ein Angreifer aus der Ferne Code ins System einschleusen kann. Sie befinden sich in Windows, Internet Explorer, Office, Visual FoxPro, Visual Basic, Exchange Server sowie weiteren Server-Produkten. In einigen dieser Produkte befinden sich zudem Lücken, deren Schweregrad Microsoft als "wichtig" einstuft.

Vor allem XP-Nutzer sollten die Systemupdates schleunigst einspielen: Eine Schwachstelle im Remotedesktopprotokoll sorgt unter XP dafür, dass ein Angreifer die Kontrolle über das System übernehmen kann, wenn er einige speziell präparierte RDP-Pakete an den Rechner schickt. Das funktioniert allerdings nur, wenn die Remotedesktop genannte Fernsteuerfunktion aktiv ist. Anders als bei der im März geschlossenen RDP-Lücke sind dieses Mal keine anderen Windows-Versionen betroffen.

Ein weiteres Bulletin für Windows adressiert mehrere Lücken im Remote Administration Protocol und eine im Druckerwarteschlangendienst. Sie eigenen sich zum Ausführen von Code aus der Ferne unter XP und Windows Server 2003. Auf allen anderen Systemen kann ein Angreifer sie höchstens für einen Denial of Service ausnutzen, also etwa für einen Systemabsturz.

Darüber hinaus hat Microsoft eine kritische Lücke in der Systembibliothek MSCOMCTL.OCX geschlossen, die von zahlreichen Produkten genutzt wird, nämlich Microsoft Office, Microsoft SQL Server, Commerce Server, Host Integration Server, Visual FoxPro und Visual Basic 6.0 Runtime. Durch die Lücke kann man sich beim Öffnen einer speziell präparierten Webseite oder Mail Schadcode einfangen. Laut Microsoft wird diese Schwachstelle bereits für gezielte Angriffe eingesetzt.

Außerdem hat das Unternehmen kritische Lücken im Exchange Server 2007 und 2010 geschlossen, die von Oracles Dateikonverter Outside In eingeschleppt wurden. Das Fünte kritische Bulletin schließt gesammelte Lücken in Internet Explorer 6 bis 9, unter anderem einen Integer-Überlauf in der JavaScript-Engine.

Ein im bereits im Juli veröffentlichtes Bulletin, das ein kritisches Loch in den Microsoft XML Core Services geflickt hat, musste Microsoft überarbeiten und neu herausgeben. In der ursprünglichen Form hatte es zwar die Core Services 3.0, 4.0 und 6.0 geheilt, dabei aber Version 5.0 ausgelassen. Unklar ist, wie groß die Verbreitung der bislang noch verwundbaren 5er Version ist. Ein Exploit für die Lücke ist bereits seit zwei Monaten im Umlauf. (rei)