Microsoft-Patchday: Gefährliche Mail-Vorschau in Outlook
Im September gibt es von Microsoft 13 Patch-Pakete, die 43 Sicherheitslücken in der Produktpalette schließen. Eine der Schwachstellen kann fatale Folgen für Outlook-Nutzer haben.
- Ronald Eikenberg
Microsoft veröffentlicht anlässlich seines September-Patchdays insgesamt 13 Patch-Pakete (Bulletins), die 47 Sicherheitslücken schließen. Besonderes Augenmerk liegt dabei auf dem Outlook-Patch für die Versionen 2007 SP3 bis 2010 SP2: Er schließt eine als kritisch eingestufte Lücke, durch die man sich einen Schädling einfangen kann, indem man eine Mail mit der Vorschau betrachtet.
Das Problem tritt beim Öffnen beziehungsweise der Vorschau-Ansicht speziell präparierter S/MIME-Mails auf, die Unterschriften mit verschachtelten Zertifikate enthalten. Outlook gibt unter Umständen einen bereits freigegebenen Speicherbereich erneut frei, was ein Angreifer zum Einschleusen von Schadcode ausnutzen könnte. Nach Angaben von Microsoft ist die vertraulich gemeldete Lücke allerdings nur schwer auszunutzen.
Zwei Sammelupdates dichten weitere Sicherheitslöcher ab, nämlich in allen noch unterstützten Versionen des Internet Explorer sowie im SharePoint Server. Durch die IE-Lücken kann man sich beim Surfen schlimmstenfalls Malware einfangen, durch die SharePoint-Schwachstellen kann ein authentfizierter Angreifer Code auf dem Server zur Ausführung bringen. Das vierte und letzte "kritische" Bulletin schließt eine Sicherheitslücke in Windows XP und Server 2003, die sich ebenfalls zum Einschleusen von Code eignet. Der Angreifer muss seinem Opfer in spe hierzu eine Datei unterjubeln, die ein präpariertes OLE-Objekt enthält.
Aber auch die übrigen neun Patch-Pakete sollte man nicht vernachlässigen; Microsoft hat ihnen die zweithöchste Dringlichkeitsstufe zugeteilt. Ein Sammelupdate adressiert unter anderem zahlreiche Speicherfehler in Office 2003 bis 2010, dem Compatibility Pack SP3 und dem Word Viewer. Weitere Lücken klaffen in Windows XP und Vista sowie Server 2003 und 2008, allen noch unterstützen Excel-Versionen, Access 2007 bis 2013 sowie Frontpage 2003.
Die übrigen Patch-Pakete dichten den Active-Directory-Dienst von Windows Vista bis 8 (einschließlich Server 2008, 2008 R2 und 2012) ab und schließen eine Lücke bei der Verarbeitung von Windows-Designs in den Versionen XP und Vista sowie Server 2003 und 2008. Außerdem hat Microsoft noch eine Lücke im im Dienstesteuerungs-Manager von Windows 7 und Server 2008 R2 sowie einige Privilege-Escalation-Lücken in den meisten WIndows-Versionen geschlossen. Darüber hinaus wurde das Eingabemodul für chinesische Schriftzeichen von Office abgedichtet. (rei)
