Kritische Lücken in allen Windows-Versionen geschlossen
Mit einem kleinen Rundumschlag beheben die Redmonder Schwachstellen, durch die Angreifer Systeme übers Netz unter ihre Kontrolle bringen können.
- Christiane Rütten
Microsofts Ankündigung, im September fünf Patch-Pakete zu veröffentlichen, hat sich bewahrheitet: fünfmal Schadcodeausführung übers Netz in Windows, fünfmal ist die Einstufung kritisch. Im Einzelnen betreffen die Updates die JScript-Engine, die unter anderem die Ausführung von JavaScript-Code im Internet Explorer übernimmt, den automatischen Konfigurationsdienst für WLAN-Netzwerke, mehrere Schwachstellen in den Bibliotheken für das Windows-Media-Format WMF, eine Verwundbarkeit im TCP/IP-Netzwerk-Stack, sowie das ActiveX-Control zum Editieren von DHTML-Inhalten.
Das Problem im WLAN-Konfigurationsdienst betrifft lediglich Vista und Server 2008 (außer in der Itanium-Version). Windows XP bleibt außerdem von der Schwachstelle im Netzwerk-Stack verschont, Vista und Server 2008 von der DHTML-Lücke. Jedes Update-Paket schließt mindestens eine Sicherheitslücke, für die die Redmonder eine baldige Verfügbarkeit von Exploits für wahrscheinlich halten.
Die Schwachstelle im FTP-Server von Microsoft IIS 5, 6 und 7 sowie die Denial-of-Service-Lücke im Netzwerkdienst von Vista und Windows 7 bleiben erwartungsgemäß ungepatcht. Inwiefern Windows 7, das bereits vielerorts produktiv eingesetzt wird, ebenfalls von den Schwachstellen betroffen ist, geht aus Microsofts aktuellen Veröffentlichungen nicht hervor. Anwender sollten die heute veröffentlichten Patches umgehend einspielen.
Siehe dazu auch:
- Microsoft Security Bulletin Summary for September 2009, Zusammenfassung zum September-Patchday von Microsoft
- Microsoft warnt vor Lücke in den Internet Information Services
- Lücke in Windows Vista und 7 ermöglicht Neustart aus der Ferne
(cr)