Microsoft-Patches auch für Windows 7

Drei kritische und drei wichtige Updates beschert Microsoft seinen Kunden zum Dezember-Patchday. Der Sammelpatch für den Internet-Explorer betrifft erstmals auch die Nutzer von Microsofts neuem Betriebssystem.

In Pocket speichern vorlesen Druckansicht 215 Kommentare lesen
Lesezeit: 2 Min.

Drei kritische und drei wichtige Updates beschert Microsoft seinen Kunden zum Dezember-Patchday. Das wichtigste ist zweifelsohne der Sammelpatch für den Internet Explorer, der eine seit mehreren Wochen bekannte Sicherheitslücke schließen soll.

Darüber hinaus berichtet die zugehörige Sicherheitsnotiz MS09-072 von weiteren vier kritischen Schwachstellen im Internet Explorer, die direkt bei Microsoft gemeldet wurden. Für alle Lücken wird es nach Einschätzung des Security-Teams bald verlässlich funktionierende Exploits geben. Drei der Lücken betreffen auch den Internet Explorer 8 von Windows 7 so schwer, dass eine bösartige Web-Site einen Rechner infizieren könnte. Besonders peinlich ist, dass erneut eine Lücke ausgebessert werden muss, die auf den Fehler in der Active Template Library zurückzuführen ist.

In Microsofts Internetauthentifizierungsdienst (IAS) wurden laut MS09-71 zwei Lücken gefunden. Dabei ist das Problem nicht auf Server beschränkt, weil offenbar auch der Client-seitige Code zum Aufbau einer via MS-CHAP2 authentifizierten Verbindung betroffen ist. Allerdings weisen die Redmonder darauf hin, dass Windows selbst diesen Code auf Clients nicht verwendet – oder jedenfalls nicht so, dass die Lücke angreifbar wäre. Erst Software von Drittanbietern würde dieses Loch dann exponieren.

MS09-074 beschreibt als dritte, kritische Sicherheitsnotiz eine Lücke in Microsoft Office Project, die sich über speziell gestaltete Project-Dateien ausnutzen lässt. Offenbar ist es möglich, eine Web-Seite so einzurichten, dass allein deren Besuch dazu führt, dass die verwundbare Office-Applikation die Datei öffnet.

Das ist bei den präparierten Word-97-Dokumenten, die eine Sicherheitslücke im Textkonverter von Wordpad und Office ausnutzen, anscheinend nicht der Fall. So blieb der Lücke in MS09-73 die Einstufung in die höchste Gefahrenstufe versagt, obwohl ein Angreifer damit ebenfalls die volle Kontrolle über einen Windows-Rechner erlangen könnte.

Die zwei in MS09-70 beschriebenen Fehler der Active Directory Federation Services (ADFS) betreffen nur (Web-)Server. Schließlich beschreibt MS09-69 einen Fehler, der dazu führen kann, dass ein Angreifer via IPSec den LSASS-Dienst eines Windows-Server-Systems lahmlegt.

Siehe dazu auch:

(ju)