Sammel-Patches stopfen Löcher in Outlook Express und Internet Explorer
Microsoft hat zwei neue Bugfix-Pakete für Outlook Express und den Internet Explorer herausgegeben, die außer existierenden Fixes auch Korrekturen für neu entdeckte Sicherheitslücken enthalten.
Microsoft hat zwei neue Bugfix-Pakete für Outlook Express und den Internet Explorer herausgegeben, die als kumulative Patches bis dahin veröffentlichten Sicherheitskorrekturen enthalten. Außerdem wurden aber auch neu entdeckte Sicherheitslücken gestopft.
Für Outlook Express (Versionen 5.5 und 6.0) enthält der im Advisory beschriebene Patch auch die Korrektur für einen Buffer Overflow bei Nutzung von S/MIME, der im Oktober vergangenen Jahres auftauchte. Darüber hinaus korrigiert das Update einen Fehler im Handling von MHTML (MIME Encapsulation of Aggregate HTM), durch den ein Angreifer beliebigen Code auf der lokalen Maschine ausführen könnte. Allerdings müssen die entsprechenden Dateien bereits auf dem System des Anwenders vorhanden sein; trotzdem stuft Microsoft das Sicherheitsleck als kritisch ein. Der kumulative Patch steht als separates Paket zum Download bereit. Microsoft will die Korrektur für das Problem auch mit dem Service Pack 2 für den Internet Explorer 6 ausliefern.
Ein zweites Paket hat Microsoft für den Internet Explorer herausgegeben. Es betrifft die Versionen 5.01, 5.5 und 6.0 und enthält laut Microsoft alle vorausgegangene Bugfixes für diese Versionen des Webbrowsers. Zusätzlich wurden vier neu entdeckte Sicherheitslücken korrigiert. Darunter befindet sich ein Buffer Overflow in der URLMON.DLL, durch dessen Ausnutzung ein Angreifer beliebigen Code auf der lokalen Maschine ausführen kann. Zudem führt ein Fehler im File-Upload-Control dazu, dass sich Dateien, deren Name und Pfad bekannt ist, ohne Wissen des Users von der lokalen Maschine auf einen Webserver übertragen lassen. Ein dritter Fehler besteht in der Behandlung von Dateien von Drittanbietern -- dadurch könnte ein Angreifer Scripts ausführen lassen, die im Sicherheitskontext des lokalen Users laufen. Und schlussendlich ermöglicht ein Fehler beim Handling modaler Dialoge, über einen eingefügten Script Zugang zu Dateien auf dem lokalen System zu erhalten. Auch hier stuft Microsoft die Lecks als kritisch ein; ein Paket, dass den kumulativen Patch enthält, stellt Microsoft zum Download bereit.
Details, Download-Anweisungen und Voraussetzungen zu den Patches veröffentlichte Microsoft in den beiden Advisories MS03-015 (Internet Explorer) und MS03-014 (Outlook Express). Obwohl es sich um kumulative Patches handelt, betont der Konzern, dass beispielsweise für den Internet Explorer zusätzlich das Update des HTML-Help-Controls notwendig werden kann. (jk)
