Microsoft patcht moderat

Anlässlich seines September-Patchdays hat Microsoft zwei Sicherheitsupdates hoher Dringlichkeit herausgegeben, die Lücken in Visual Studio Team Foundation Server 2010 (TFS) sowie Systems Management Server 2003 und 2007 schließen. Beide Updates beheben Cross-Site-Scripting-Lücken (XSS) in den Webinterfaces, durch die ein Angreifer Code im Browser des Opfers ausführen kann.

Weil der Angreifer dadurch mit den Rechten des Nutzers auf die Webinterfaces zugreifen kann, stuft Microsoft die Lücken als Rechteausweitung (Privilege Escalation) ein. Nach Angaben des Herstellers werden die Lücken bislang nicht aktiv für Angriffe augenutzt.

Dieser Patchday fällt also äußerst überschaubar aus, der nächste könnte jedoch weitreichende Konsequenzen haben: Im Oktober verteilt Microsoft einen Patch über Windows Update, durch den das Betriebssystem künftig alle Zertifikate für ungültig erklärt, deren RSA-Schlüssel kürzer als 1024 bit ist. Wer eine Infrastruktur verwaltet, in der ein solches Zertifikat zum Einsatz kommt, sollte es also rechtzeitig gegen ein Zertifikat eintauschen, dessen privater Schlüssel die Mindestlänge aufweist. Das NIST empfiehlt derzeit für RSA eine Schlüssellänge von mindestens 2048 Bit.

Update vom 12.09.2012, 7 Uhr: Microsoft hat auch eine Reihe weiterer Patches herausgegeben, die nach Einschätzung des Unternehmen nicht sicherheitsrelevant sind. Deren Installation setzt teilweise einen Neustart voraus. Eines der Updates setzt ActiveX-Killbits für verwundbare Cisco-Plug-ins und blockiert damit die Ausführung. (rei)