Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Microsoft schließt kritische Lücken im IE und Media Player

Am Patchday gab Microsoft mit sieben Bulletins sogar eins mehr als angekündigt heraus. 11 Lücken werden in Outlook Express, Windows und Visual Studio 2005 geschlossen.

In Pocket speichern vorlesen Druckansicht 179 Kommentare lesen
Lesezeit: 4 Min.
Security
Von
  • Daniel Bachfeld

Am letzten planmäßigen Patchday des Jahres 2006 legt Microsoft sogar noch ein Update zu den ankündigten sechs Patches drauf. Für Patches der Zero-Day-Lücken in Word hat es jedoch noch nicht gereicht.

In sieben Bulletins beschreiben die Redmonder 11 Sicherheitslücken, die ihre schon zur Verteilung bereit gestellten Patches schließen sollen. Die wichtigsten, und kritischsten davon betreffen den Internet Explorer, der nach der Installation des Updates vier Lücken weniger aufweisen soll sowie den Windows Media Player 9 und 10, die sich bis dato beim Parsen manipulierter ASX- und ASF-Dateien Schadcode unterschieben ließen. Zwei der Lücken in Internet Explorer 6 ließen sich ebenfalls ausnutzen, um Besucher von Webseiten mit Schädlingen zu infizieren. Eine davon machte sich einen Speicherfehler beim Versuch des Browsers zunutze, mehrere gleichzeitig auftretende Skriptfehler zu verarbeiten. Die andere beruht auf bestimmten DHTML-Skriptfunktionen mit fehlerhaft erzeugten Elementen. Die restlichen zwei Fehler im Browser ermöglichen es einem Angreifer nur, auf den Ordner "Temporary Internet Files" zuzugreifen und so unter Umständen an vertrauliche Informationen zu gelangen. Der Internet Explorer 7 ist von keiner der Lücken betroffen.

Auch die sechs Wochen alte Lücke in WMI-Broker-Objekt des ActiveX-Control unter Visual Studio 2005 ist nun geschlossen. Die Lücke fand sich allerdings nicht in der kompletten Serie der Entwicklungsumgebung, sondern nur in Visual Studio 2005 Standard Edition, Visual Studio 2005 Professional Edition, Visual Studio 2005 Team Suite, Visual Studio 2005 Team Edition for Developers, for Architects sowie for Testers.

Sowohl Windows 2000, XP und 2003 (jeweils alle Service Packs) waren vor dem Patchday für Angriffe über das Netzwerkmanagementprotokoll SNMP verwundbar, sofern es installiert war. Microsoft stuft den Fehler deshalb wahrscheinlich auch nur als "Important" ein. Ein Buffer Overflow ermöglichte es Angreifern über manipulierte SNMP-Pakete, Code in den Rechner zu schleusen und mit Systemrechten zu starten. Auch nur als "Wichtig" ordnet der Softwarekonzern eine Lücke XP und 2003 ein: Über präparierte File Manifests kann ein angemeldeter Anwender seine Zugriffsrechte auf dem System ausweiten. Manifest-Dateien sind XML-Dateien, die definieren, wie Windows die Visualisierung eines Programmes vornehmen soll.

Mit einer Lücke in der Adressbuchverwaltung von Outlook Express 5.5 und 6 wurden Windows-Anwender bereits im April dieses Jahres konfrontiert. Beim Import bestimmter Windows Address Books (.wab) trat ein Pufferüberlauf mit den bekannten Folgen auf. Offenbar gab es dort noch einen zweiten ungeprüften Puffer beim Einlesen von WABs, der nun behoben ist. Zuletzt beseitigt Microsoft noch eine Schwachstelle im Remote Installation Service (RIS) unter Windows 2000, einer Methode um im Pre-boot Execution Environment (PXE) Software zu verteilen und zu installieren. Offenbar wird dabei ein TFTP-Server gestartet, der jedermann (anonymous) Zugriff auf das System gewährt. Ein Angreifer kann dabei eigene Dateien auf dem System an beliebiger Stelle ablegen. Das soll nach dem Update nicht mehr möglich sein.

Zum Zeitpunkt der Erstellung des Artikels waren die Bulletins und die Zusammenfassung nur in englisch verfügbar. Anwender sollten zumindest die Updates für den Internet Explorer baldigst installieren -- oder auf den Internet Explorer 7 umsteigen.

Siehe dazu auch:

(dab)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten