Februar-Patchday: Windows und Office endlich wieder dicht
Mit einem Rundumschlag schließen die Redmonder alle bekannten, kritischen Lücken -- und einige bislang unbekannte: Zwölf Patches für insgesamt 19 Lücken in Windows, Office, Visual Studio .NET, Live OneCare, Antigen, Windows Defender und Forefront.
- Christiane Rütten
Der Februar-Patchday bringt für alle Nutzer von Microsoft-Software eine gute Nachricht: Die Redmonder beheben alle bisher bekannten kritischen Schwachstellen, über die Angreifer verwundbare Systemen übers Netz übernehmen könnten. Insbesondere Office-Anwender dürfen vorerst wieder aufatmen, da sowohl die vier schon länger bekannten kritischen Word-Lücken als auch die Excel-2000-Lücke nun behoben wurden. Die zwischenzeitlich gemeldete fünfte Word-Lücke entpuppte sich als Variation einer älteren. Auch die kritische Schwachstelle im ActiveX-Control ADODB.Connection hat endlich ihren Fix bekommen.
Darüber hinaus gibt es Patches für das HTML-Hilfe-ActiveX-Control in allen Windows-Versionen außer Vista. In der Linie der Sicherheitsprodukte – der Malware Protection in Live OneCare, Antigen, Windows Defender und Forefront – beheben die Redmonder einen Fehler bei der Analyse von PDF-Dateien, über den Angreifer mittels präparierter Dokumente die Kontrolle über ein System erlangen könnten. Das kumulative IE-Update betrifft die Versionen 5, 6 und 7, nicht jedoch den IE7 von Vista. Es setzt das Killbit für weitere gefährliche COM-Objekte und beseitigt einen Fehler bei der Auswertung von Antworten eines FTP-Servers.
Updates mit der Einstufung "hoch" gibt es für die Windows-Shell von XP und Server 2003 und den Image Acquisition Service von XP. Beide Schwachstellen erlauben Angreifern auf ungepatchten Systemen, sich unter Umständen Administratorrechte zu verschaffen. Ebenfalls mit dem Schweregrad "hoch" stuft Microsoft die Patches für den OLE-Dialog und die Microsoft Foundation Class (MFC) diverser Windows-Versionen sowie die RichEdit-Funktion in allen Office-Versionen außer dem neuen Office 2007 ein. Die MFC-Lücke betrifft auch Visual Studio .NET. Angesichts der vielen kritischen Updates und der breiten Palette betroffener Software sollten Microsoft-Nutzer die Patches sobald wie möglich über die automatische Update-Funktion von Windows oder die Microsoft-Update-Webseite einspielen lassen.
Interessant ist, dass laut Microsoft das neue Windows Vista zumeist nicht von den Schwachstellen betroffen ist – nicht nur bei Lücken im Betriebssystem selbst sondern auch bei Software, die auf anderen Windows-Versionen verwundbar ist. Möglicherweise verhindern die neuen Schutzmechanismen des XP-Nachfolgers, dass sich die Schwachstellen unter Vista ausnutzen lassen – zumindest bis die Angreifer Mittel und Wege gefunden haben, auch diese wieder zu umgehen.
Siehe dazu auch:
- Microsoft Security Bulletin Summary für Februar 2007, Zusammenfassung von Microsoft zum Patchday
(cr)
