Drei LĂĽcken am Microsoft-Patchday geschlossen [Update]
Ein kritisches, ein als wichtig und ein als mittel eingestuftes Problem behebt Microsoft zum September-Patchday. Die bereits aktiv ausgenutzte LĂĽcke in Word 2000 ist jedoch nicht darunter.
Am September-Patchday schließt Microsoft zwei Lücken in den Windows-Betriebssystemen und eine Schwachstelle in MS Office – den bereits aktiv ausgenutzten Fehler in Word 2000 behebt das Unternehmen allerdings noch nicht.
Die einzige als kritisch eingestufte Sicherheitslücke betrifft die Office-Komponente Microsoft Publisher. Durch Fehler beim Verarbeiten präparierter Publisher-Dokumente (.pub) kann Schadcode eingeschleust und mit den Rechten des Anwenders ausgeführt werden. Nach dem Update lassen sich mit Publisher 2.0 erstellte Dokumente nicht mehr öffnen; für weitere Informationen verweist Microsoft auf einen Knowledgebase-Artikel.
Als wichtig stuft Microsoft eine Sicherheitslücke in den Microsoft Message Queuing Services (MSMQ) ein. MSMQ rüstet die Unterstützung für die Multicast-Variante Pragmatic General Multicast (PGM) nach, einer Art Multicast mit Quality-of-Service-Elementen. Angreifer können mit manipulierten PGM-Paketen beliebigen Programmcode auf den Rechner einschleusen und die vollständige Kontrolle über ihn erlangen. Bei einer Windows-Standardinstallation wird der Dienst allerdings nicht installiert.
Die Einstufung mittel erhält eine Cross-Site-Scripting-Lücke -- übersetzt mit "siteübergreifende Skripterstellung" -- im Indexdienst. Er überprüft Suchanfragen nicht korrekt. Dadurch ist es möglich, Scriptcode im Kontext eines anderen Anwenders auszuführen sowie damit Inhalte zu fälschen und Informationen auszuspähen.
[Update] Über das Windows Update werden wie angekündigt noch zwei weitere, nicht sicherheitsrelevante Patches ausgeliefert. Das eine Update behebt Fehler in den Audio-Komponenten von Windows, das andere merzt ein Problem im Zusammenspiel zwischen Microsofts Filter-Manager und den unterschiedlichen Updatemechanismen aus, das dazu führen kann, dass auf betroffenen Rechnern Updates nicht eingespielt werden können.
Einige Nutzer können noch weitere Updates angeboten bekommen. Nähere Informationen dazu liefert ein Artikel auf heise Security. [/Update]
Die überschaubare Anzahl der Patches gibt hoffentlich den immer noch von der Patch-Flut der letzten Monate geplagten Administratoren eine Verschnaufpause -- sofern nicht wieder unerwartete Unverträglichkeiten für Stress sorgen. Bleibt nur zu hoffen, dass die Redmonder auch bald einen Patch für die kritische Lücke in Word bereitstellen und dafür nicht noch einen ganzen Monat ins Land ziehen lassen. Bis dahin gilt es, bei Doc-Dateien verschärfte Vorsicht walten zu lassen.
Siehe dazu auch: (dmk)
- Microsoft Security Bulletin Summary fĂĽr September 2006, Zusammenfassung von Microsoft (deutsch)
- Sicherheitsanfälligkeit in Pragmatic General Multicast (PGM) kann Remotecodeausführung ermöglichen, Sicherheitsmeldung MS06-052 von Microsoft
- Sicherheitsanfälligkeit im Indexdienst kann siteübergreifende Skripterstellung ermöglichen, Sicherheitsmeldung MS06-053 von Microsoft
- Sicherheitsanfälligkeit in Microsoft Publisher kann Remotecodeausführung ermöglichen, Sicherheitsmeldung MS06-054 von Microsoft
- Das heimliche Update oder der Patch zum Patch des Patches, Artikel auf heise Security ĂĽber weitere, nicht angekĂĽndigte Updates
