Microsoft-Patchday: Windows und IE sicherer
Insgesamt sechs Lücken weniger, über die sich unter Umständen Schadcode übers Netz einschleusen ließe. Ein außerplanmäßiges Update für den löchrigen Broadcom-WLAN-Treiber lässt sich allerdings nur etwas umständlich manuell installieren.
- Christiane Rütten
Am November-Patchday bringt Microsoft wie angekündigt sechs Updates heraus. Fünf davon stufen die Redmonder als "kritisch" ein, eines erhält die Einstufung "hoch". Durch jede der Schwachstellen könnten Angreifer unter Umständen beliebigen Schadcode übers Netz einschleusen und die Kontrolle über ungepatchte Systeme übernehmen.
Wie erwartet schließt Microsoft die Schwachstelle in den XML Core Services (MS06-071), die den Internet Explorer unter Umständen zum Einfallstor für Schadsoftware werden ließen. Laut Advisory ist neben der nicht standardmäßig installierten Version 4.0 auch 6.0 betroffen. Außerdem stopfen die Windows-Entwickler eine bislang offenbar unbekannte Lücke im Arbeitsstationsdienst (MS06-070) von Windows 2000 und XP.
Von dem Sicherheitsloch im Macromedia Flash Player (MS06-069) sind nur XP-Anwender, dann aber sowohl mit 32- als auch 64-Bit-Systemen betroffen. Die Schwachstelle im Microsoft Agent (MS06-68) findet sich durch die Bank in allen Windows-Versionen außer in Windows Vista. Mit dem kumulativen Sicherheitsupdate für den Internet Explorer 5 und 6 (MS06-067) beheben die Entwickler zwei seit September aktiv ausgenutzte Programmierfehler im DirectAnimation-Control daxctle.ocx sowie eine Schwachstelle im HTML-Rendering.
Als einziges November-Update ist das Update für den NetWare-Client (MS06-066) mit der zweithöchsten Stufe "hoch" bewertet. Es betrifft lediglich 32-Bit-Installationen von Windows 2000, XP und Server 2003, sofern der fehlerhafte Netzwerkdienst aktiviert wurde.
Abseits des Patchdays und ohne Ankündigung liefert Microsoft nun die fehlerbereinigte Version der 4.100.15.5 der WLAN-Treiber von Broadcom aus. Beim Einsatz einer älteren Version können Angreifer unter Umständen per Funknetz die vollständige Kontrolle über das System übernehmen. Um den neuen Treiber zu erhalten, müssen Anwender auf der Windows-Update-Seite den Punkt "Benutzerdefinierte Suche" und dann in der linken Spalte "Hardware, optional" auswählen.
Das Update auf den Internet Explorer 7 ist ebenfalls nicht Teil des November Patchdays. Microsoft hat angekündigt, die neue Version des Browsers allen Anwendern automatisch als Sicherheitsupdate auszuliefern und in einigen englischsprachigen Regionen bereits damit begonnen. In Deutschland soll es laut Microsoft erst ab dem morgigen 15. November soweit sein. Wer den Zeitpunkt des Umstiegs selbst bestimmen möchte, muss deshalb nicht das automatische Update abschalten. Eine Anleitung auf heise Security beschreibt, wie sich das IE-Upgrade verhindern lässt.
Siehe dazu auch:
- Microsoft Security Bulletin – Zusammenfassung für November 2006, Informationen von Microsoft zum November-Patchday
- Sicherheitsanfälligkeit in Microsoft XML Core Services kann Remotecodeausführung ermöglichen, Security Bulletin MS06-071
- Sicherheitsanfälligkeit im Arbeitsstationsdienst kann Remotecodeausführung ermöglichen, Security Bulletin MS06-070
- Sicherheitsanfälligkeiten in Macromedia Flash Player von Adobe können Remotecodeausführung ermöglichen, Security Bulletin MS06-069
- Sicherheitsanfälligkeit in Microsoft Agent kann Remotecodeausführung ermöglichen, Security Bulletin MS06-068
- Kumulatives Sicherheitsupdate für Internet Explorer, Security Bulletin MS06-067
- Sicherheitsanfälligkeiten im Client Service für NetWare können Codeausführung von Remotestandorten aus ermöglichen, Security Bulletin MS06-066
(cr)
