Microsoft schließt 15 Lücken am Juni-Patchday
Microsoft patcht am Juni-Patchday 15 Sicherheitslücken in den Betriebssystemen, im Internet Explorer, den Mail-Programmen und in MS Office.
Am Juni-Patchday räumt Microsoft mit 15 teils kritischen Fehlern in seinen Produkten auf. Wie angekündigt veröffentlichen die Redmonder dazu insgesamt sechs Security-Bulletins und stuft vier davon als kritisch ein.
Das umfangreichste Patch-Paket ist MS07-033, das insgesamt sechs Lücken im Internet Explorer schließt. Unter anderem setzt sich die nicht enden wollende Saga der COM-Objekte, die sich zwar via ActiveX aufrufen lassen, aber nicht dafür vorgesehen sind und dabei dann den Speicher in kritischer Weise durcheinanderbringen können. Von dieser Plage ist der Internet Explorer 7 und damit Vista zwar nicht mehr betroffen, aber auch für den neuen Microsoft-Browser auf dem neuesten Microsoft-Betriebssystem droht Gefahr durch kritische Lücken: Beim Zugriff auf bestimmte nichtinitialisierte Objekte und durch einen Fehler in der Sprachsteuerung kann es zur sogenannten Remotecodeausführung – also dem Einschleusen und Ausführen von Code durch eine Web-Seite kommen.
Ein kumulatives Update für Outlook Express und Windows Mail behebt insgesamt vier Schwachstellen (MS07-034). Interessant dabei ist, dass nur Windows Vista in kritischer Weise betroffen ist, weil Windows Mail durch Anklicken von Links mit UNC-Pfadangaben (\\Servername\Freigabename\Pfad) in präparierten E-Mails zur Ausführung von Schadcode führen kann. Die anderen drei Lecks ermöglichen es Webseiten, die durch einen Klick in einer Mail geöffnet werden, eventuell vertrauliche Daten auszuspähen – Microsoft spricht von domänenübergreifender Offenlegung von Informationen.
Von den beiden weiteren kritischen Lücken bleiben Vista-Nutzer hingegen verschont: In der Secure-Channel-Komponente (SChannel) von Windows, die SSL- und TLS-Authentifizierung unter anderem für den Internet Explorer bereitstellt, kann laut MS07-031 durch einen Fehler schon beim Besuch von SSL- oder TLS-gesicherten, manipulierten Webseiten eingeschleuster Programmcode zur Ausführung kommen.
Bei der Beschreibung der Nächsten bleiben die Redmonder sehr im Vagen: Gemäß MS07-035 prüfen irgendwelche Funktionen der Windows-Programmierschnittstelle Win32-API irgendwelche Parameter nicht ausreichend, so dass es irgendwie zu einer Remotecodeausführung kommen könnte. Angesichts der ausgefeilten Werkzeuge mit denen Patches mittlerweile analysiert werden, steht zu bezweifeln, ob diese restriktive Informationspolitik tatsächlich verhindert, dass diese Lücke zeitnah ausgenutzt wird.
Des weiteren schließt Microsoft zwei als hoch bewertete Schwachstellen in Microsoft Office 2003, durch die präparierte Visio-Dokumente (.vss, .vsd oder .vst) beliebigen Programmcode einschmuggeln können (MS07-030). Und schließlich ermöglicht es ein Sicherheitsleck in Windows Vista ermöglicht lokalen Anwendern mit eingeschränkten Konten, auf Daten anderer Nutzer zuzugreifen und so beispielsweise die Administratorkennwörter aus der Registry oder vom Dateisystem auszulesen (MS07-032), was in Redmond immerhin noch als mittel eingestuft wird.
Wie jeden Monat liefert Microsoft auch ein aktualisiertes Malicious Software Removal Tool (MSRT) aus, das den Rechner von bekannten und verbreiteten Schädlingen befreien soll. Da die Updates zahlreiche gravierende Sicherheitslücken schließen, sollten Windows-Nutzer sie sobald wie möglich einspielen. In der Vergangenheit tauchten regelmäßig kurze Zeit nach dem Erscheinen der Patches beispielsweise Webseiten auf, die Sicherheitslücken ausnutzen, um unbemerkt Spyware und Trojanern auf die Rechner argloser Opfer zu installieren.
Siehe dazu auch:
- Microsoft Security Bulletin Summary für Juni 2007, Übersicht der Security-Bulletins im Juni von Microsoft
- Sicherheitsanfälligkeiten in Microsoft Visio können Remotecodeausführung ermöglichen (927051), Security Bulletin MS07-030
- Sicherheitsanfälligkeit im Windows SChannel-Sicherheitspaket kann Remotecodeausführung ermöglichen (935840), Security Bulletin MS07-031
- Sicherheitsanfälligkeit in Windows Vista kann Offenlegung von Informationen ermöglichen (931213), Security Bulletin MS07-032
- Kumulatives Sicherheitsupdate für Internet Explorer (933566), Security Bulletin MS07-033
- Kumulatives Sicherheitsupdate für Outlook Express und Windows Mail (929123), Security Bulletin MS07-034
- Sicherheitsanfälligkeit in Win 32 API kann Remotecodeausführung ermöglichen (935839), Security Bulletin MS07-035
(dmk)
