Sechs Update-Pakete von Microsoft zum Juli-Patchday

Plangemäß veröffentlicht Microsoft am Juli-Patchday sechs Sicherheitspakete und schließt damit auch die aktiv ausgenutzte Schwachstelle in DirectShow. Drei Update-Bündel tragen die Einstufung "kritisch". Sie betreffen neben DirectShow (als Teil von DirectX) das Video-ActiveX-Control und die Windows-Schriftenkomponente Embedded OpenType Font Engine. Updates für Virtual PC und Server, Office 2007 und den ISA Server 2006 haben die Redmonder mit dem Rating "hoch" versehen. Microsoft erwartet, dass für alle Fehler wahrscheinlich Exploits erhältlich sein werden. Die Updates für die Schriften-Engine, Virtual PC und Virtual Server sowie den ISA Server erfordern einen Neustart des Systems.

Das DirectShow-Update (MS09-028) patcht DirecX 7.0 und 8.1 für Windows 2000, sowie 9.0 für Windows 2000, XP und Server 2003. DirectX 10 für Vista und Server 2008 ist nicht betroffen. Das Update umfasst insgesamt drei Patches. Einer behebt die öffentlich bekannte DirectShow-Lücke, bei den anderen beiden handelt es sich um bisher unter Verschluss gehaltene Schwachstellen. Die Fehler können beim Verarbeiten von QuickTime-Mediendateien auftreten und lassen sich beim Surfen im Netz zur Auführung von beliebigem Schadcode mit den Rechten des Anwenders missbrauchen. Das Update macht den bisher empfohlenen Schnell-Fix überflüssig.

Die Windows-Systemkomponente Embedded OpenType Font Engine (EOT) wurde mit zwei Patches bedacht (MS09-029), die ebenfalls Schadcodeausführung verhindern. Bei EOT-Fonts handelt es sich um ein spezielles Schriftenformat für das Einbetten in Webseiten und E-Mails. Von den aktuell unterstützten Windows-Versionen ist lediglich die Server-2008-Core-Installation vor dem Problem gefeit.

Office-Nutzer müssen nach Einspielen des Juli-Patches (MS09-030) keine Vorsicht mehr beim Öffnen von Publisher-Dateien walten lassen, durch die sich unter Umständen beliebiger Schadcode einschleusen lassen. Der verwundbare Microsoft Office Publisher befindet sich allerdings nur in Microsoft Office System 2007 mit und ohne Service Pack 1. Wer eine ältere Office-Version oder Office System 2007 bereits mit Service Pack 2 verwendet, ist aus dem Schneider.

Der Patch für den Microsoft Internet Security and Acceleration (ISA) Server 2006 verhindert, dass nicht befugte Benutzer auf beliebige Ressourcen zugreifen können, sofern das Redmonder Security-Gateway für Radius-OTP-Authentifizierung konfiguriert ist (MS09-031). Auf diese Weise können Angreifer die vollständige Kontrolle über Systeme erlangen, die die Web-Publishing-Regeln eines verwundbaren ISA Server 2006 zur Authentifizierung verwenden.

Auch das Video-ActiveX-Control weist unter Windows XP und Server 2003 eine Sicherheitslücke auf, über die man sich beim Besuch manipulierter Webseiten mit dem Internet Explorer Schadcode einfangen kann (MS09-032). Der Patch löst das Problem, indem er das Kill-Bit für das betroffene Steuerelement setzt. Microsoft empfiehlt das Update aber auch Nutzern mit Windows 2000, Vista und Server 2008 (bis auf die nicht betroffenen Core-Installationen), um künftigen Sicherheitsproblemen mit dem Video-ActiveX aus dem Weg zu gehen.

Die Updates für Microsofts Virtualisierungslösung schließen Schwachstellen in Virtual PC 2004 und 2007 sowie Virtual Server 2005 (MS09-033). Nicht betroffen ist Virtual PC für Mac. Wer den Patch auslässt, muss damit Rechnen, dass sich auf dem PC laufende Schadprogramme System-Rechte verschaffen können.

Die Patch-Bündel stehen wie gewohnt über den Windows-Update-Dienst bereit. Da bald mit dem Auftauchen von Angriffsprogrammen zu rechnen ist und sich die meisten Lücken beim Surfen im Netz ausnutzen lassen, sollten Windows-Anwender nicht zögern, die Patches einzuspielen.

Siehe dazu auch:

• Microsoft Security Bulletin Summary for July 2009, Übersicht von Microsoft

(cr)