Microsoft schließt sie nicht alle
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen.
- Ronald Eikenberg
Microsoft hat am heutigen Juni-Patchday insgesamt fünf sicherheitsrelevante Patch-Pakete herausgegeben, die Schwachstellen in Windows, dem Internet Explorer und Office schließen. Eine Rechteausweitungslücke, für die bereits ein passender Exploit im Netz kursiert, wurde allerdings noch nicht geschlossen.
Hohe Priotität hat für Microsoft der Sicherheitspatch für Office 2003 SP3, da er eine Schwachstelle nutzt, die Cyber-Kriminelle bereits gezielt für Angriffe ausnutzen. Die Lücke klafft auch in Office 2011 für Mac OS X, hierfür gibt es ebenfalls einen Patch. Office stolpert über speziell präparierte PNG-Dateien in Dokumenten. Dabei kommt es zu einem Pufferüberlauf, der sich zum Einschleusen von Schadcode eignet. Ebenfalls hohe Priorität hat der Sammel-Patch für den Internet Explorer. Er dichtet insgesamt 19 Sicherheitslöcher in sämtlichen IE-Versionen ab, durch die man sich beim Surfen Malware einfangen kann.
Die übrigen drei Patch-Pakete widmen sich Windows in sämtlichen Versionen und beseitigen eine Rechteausweitungslücke im Druckerspooler, eine Denial-of-Service-Lücke im Netzwerkstack und ein Informationsleck im Kernel. Laut den von Microsoft herausgegebenen Informationen handelt es sich bei der Rechteausweitungslücke keineswegs um jene, für die bereits seit Anfang des Monats ein Exploit kursiert.
Mit dem öffentlich verfügbaren Exploit kann jeder, der auf ein Konto beliebigen Typs zugreifen kann, Code mit Systemrechten ausführen – ein Gast-Account reicht völlig aus. Bekannt ist die Lücke bereits seit Mitte Mai. Sie wurde von dem Google-Sicherheitsexperten Tavis Ormandy entdeckt und ohne Vorwarnung veröffentlicht. Einige Wochen später hat er auch den dazu passenden Exploit ins Netz gestellt. Betroffen sind nach derzeitigem Kenntnisstand sämtliche Windows-Versionen.
Mit dem heutigen Patchday rüstet Microsoft bei Windows Vista und 7 einige Funktionen zur zentralen Verwaltung der Certificate Trust List (CTL) nach, die bislang neueren Versionen vorbehalten waren. Admins können nun etwa festlegen, dass Systeme in ihrer Domain die CTL auch dann automatisch beziehen, wenn sie nicht an Windows Update teilnehmen. Darüber hinaus kann der Admin festlegen, welchen Stammzertifizierungsstellen auf der Liste die von ihm verwalteten Rechner vertrauen sollen.
SIehe hierzu auch
(rei)
