Express-Patch fĂĽr Windows-Hilfecenter

Nur 33 Tage nach dem Bekanntwerden einer kritischen Windows-XP-LĂĽcke liefern die Redmonder einen Patch. DarĂĽber hinaus gibt es Updates gegen SicherheitslĂĽcken in Windows 7, Access und Outlook.

In Pocket speichern vorlesen Druckansicht 85 Kommentare lesen
Lesezeit: 2 Min.

Der wichtigste Patch des Tages betrifft eine kritische Sicherheitslücke im Hilfecenter von Windows XP, die bereits aktiv ausgenutzt wird, um Systeme mit Schad-Software zu infizieren. Der Entdecker Tavis Ormandy hatte die Lücke nebst Demo-Exploit veröffentlicht, nachdem sich Microsoft zuvor außer Stande sah, sie innerhalb von 60 Tagen zu beseitigen. Jetzt ging es dann doch deutlich schneller: Nach nur 33 Tagen gibt es via MS10-042 einen Patch, der das Loch stopfen soll.

Auf die Nachfrage von heise Security, wie es komme, dass es jetzt doch so schnell gegangen sei, zog es Microsoft vor, zu schweigen. Nach der Veröffentlichung hatten die Redmonder noch laut Zeter und Mordio gerufen und auf eine Form der Veröffentlichung verwiesen, die sie als "verantwortungsbewusst" bezeichnen. Diese "Responsible Disclosure" überlässt es vollkommen dem Gutdünken des Herstellers, wie viel Zeit er sich nehmen will, eine ihm bekannt gemachte Sicherheitslücke zu stopfen; Fälle mit Patch-Zeiten von über einem Jahr sind dabei keine Seltenheit. Die Befürworter des Gegenkonzepts "Full Disclosure" schreiben sich jetzt auf die Fahnen, dass Ormandy dafür gesorgt habe, eine Sicherheitslücke vergleichsweise schnell zu beseitigen, die ansonsten auf unbestimmte Zeit zum Beispiel für gezielte Angriffe ausgenutzt werden könnte.

Darüber hinaus veröffentlicht Microsoft auch einen Patch, der die 64-Bit-Versionen des Canonical Display Driver (cdd.dll) für Windows 7 und Windows Server 2008 ausbessert (MS10-043). Auch dieser Fehler im Aero-Desktop rangiert in der höchsten Gefahrenstufe "kritisch", was bedeutet, dass er sich weitgehend automatisiert übers Netz ausnutzen lässt. Allerdings wird es laut Microsoft schwierig sein, dafür zuverlässige Exploits zu entwickeln.

Anders die zwei Fehler in Microsoft Office Access 2003 und 2007, die MS10-044 beschreibt: Sie lassen sich über die mitgelieferten ActiveX-Controls auch ohne Mithilfe des Anwenders via Internet Explorer ausnutzen. Der Ausnutzbarkeitsindex von 1 bedeutet, dass eher früher als später Web-Seiten auftauchen werden, die sich das zu Nutze machen, um heimlich Unrat zu installieren.

Lediglich das Sicherheitsproblem in Outlook aus Office XP, 2003 und 2007 erhält nur die Einstufung wichtig, was üblicherweise bedeutet, dass der Anwender bei der Infektion aktiv mitwirken muss, indem er beispielsweise einen E-Mail-Anhang öffnet. Micosoft hat auch eine Zusammenfassung der heute bereitgestellten Sicherheits-Updates veröffentlicht. (ju)