Microsoft patcht - aber nicht die bekannten Lücken [Update]
Zwei Updates will Microsoft am nächsten Dienstag veröffentlichen, eines davon als kritisch eingestuft. Die bereits bestätigten Sicherheitslücken in Windows und Internet Explorer sind jedoch nicht dabei.
Zwei Updates will Microsoft am nächsten Dienstag veröffentlichen, eines davon hat der Softwarekonzern als kritisch eingestuft. Die bereits bestätigten Sicherheitslücken in Windows und Internet Explorer sind jedoch nicht dabei. Die zwei angekündigten Updates enthalten insgesamt drei Patches. Das als kritisch eingestufte betrifft alle Windows-Versionen. Das zweite Problem ist lediglich als wichtig markiert und nur für Nutzer von Windows Vista relevant. Genauere Details will Microsoft wie immer erst am Dienstag Abend bekannt geben.
In einem Blog-Eintrag räumt das Microsoft Security Response Center freimütig ein, dass man noch keine Patches für die beiden Sicherheitslücken parat habe, deren Existenz Microsoft in den vergangenen Wochen bestätigt hat. So weist der Internet Explorer einen kritischen Fehler bei der Verarbeitung des @import-Tags in Cascading Style Sheets (CSS) auf, über den sich Code einschleusen und ausführen lässt. Und die Windows Graphics Rendering Engine verschluckt sich an speziell präparierten Thumbnails – mit ähnlichen Konsequenzen. Microsofts Sicherheitsexperten bestätigen, dass man mittlerweile auch erste gezielte Angriffe über die IE-Lücken im Internet beobachtet habe. Auch für die Thumbnail-Lücke gibt es bereits öffentlich verfügbaren Demo-Code, sodass deren Ausnutzung wohl ebenfalls kurz bevor steht.
Wer sich auch ohne Patch schützen will, den verweist Microsoft weiterhin auf Workarounds. Gegen die IE-Lücke hilft der Einsatz des Enhanced Mitigation Experience Toolkits (EMET) für den Internet Explorer, dessen Handhabung der der heise-Security-Artikel Schadensbegrenzer beschreibt. Um sich vor dem Thumbnail-Problem zu schützen, muss man die Anzeige der Mini-Bildchen ganz abschalten. Immerhin erleichtert ein so genanntes Fix it das Aktivieren und Deaktivieren dieser Maßnahme.
Update: Wie Leser berichten, funktioniert das Fix-It-Tool auf deutschsprachigen Systemen nicht wie gewünscht. Unter Windows XP etwa läuft es zwar durch, es setzt aber die Zugriffsrechte auf die Systembibliothek shimgvw.dll nicht korrekt. Die Ursache ist, dass der verwendete Benutzer "everyone" auf deutschen Windows-Systemen nicht existiert. Dort muss man statt dessen "jeder" verwenden. Das gilt im Übrigen auch für die Angaben zur manuellen "Problemumgehung" in der Microsoft-Warnung. Wie ein Artikel auf Patch-Info beschreibt, führt der Aufruf von
echo y| cacls %WINDIR%\SYSTEM32\shimgvw.dll /E /P Jeder:N
zur gewünschten Zugriffssperre. (ju)
