Kommender Microsoft-Patchday: Mehrere bekannte Lücken bleiben offen
Nur zwei Sicherheits-Updates will Microsoft am kommenden Patchday veröffentlichen, die insgesamt aber acht Schwachstellen in Windows und Office schließen sollen. Lücken im Internet Explorer bleiben jedoch weiterhin offen.
- Daniel Bachfeld
Nur zwei Sicherheits-Updates will Microsoft am kommenden Patchday veröffentlichen, die insgesamt aber acht Schwachstellen in Windows und Office schließen sollen. Beide Updates haben die Redmonder auch nur als "wichtig" eingestuft, da sich die damit geschlossenen Lücken nicht über ein Netzwerk ausnutzen lassen, sondern der Anwender eine präparierte Datei öffnen muss.
Für die Anfang der Woche gemeldete Lücke im Internet Explorer unter Windows 2000, XP und Server 2003 in Zusammenhang mit Hilfedateien und VBScript gibt es noch keinen Patch. Microsoft beobachtet "die Lage" weiterhin und empfiehlt als Schutz, die F1-Taste beim Browsen nicht zu drücken. Bislang haben man noch keine Angriffe registriert. Windows 7, Vista und Server 2008 sind von dem Problem nicht betroffen.
Für die seit Januar bekannte Lücke im Internet Explorer bei der Verarbeitung bestimmter UNC-Pfade wird es offenbar ebenfalls keinen Patch geben. Auch dort sind insbesondere Systeme vor Vista betroffen; ab Vista läuft der Internet Explorer (7 und 8) im geschützten Modus (Protected Mode), der das Ausnutzen der Lücke verhindert.
Zudem gibt es immer noch keine Lösung für einen Fehler im Cross-Site-Scripting-Schutz des Internet Explorer 8. Weiterhin offen bleiben eine Mitte November bekannte DoS-Schwachstelle in den SMB-Clients von Windows 7 und Windows Server 2008 R2, eine Lücke im Internet Information Server 6.0 (IIS) beim Parsen von Dateinamen mit Semikolon-Erweiterung. Damit stehen einige Problem seit Längerem in der Warteschlange. Erst gestern hatte sich der Chief Information Security Officer Tom Stanley von Continental Airlines auf der RSA-Konferenz darüber beschwert, dass zu viele Lücken offen blieben. Es sei ihm egal, an wie vielen Lücken die Hersteller gleichzeitig arbeiten und sich daher Warteschlangen beim Testen ergeben. "Wenn ihr nicht die nötigen Ressourcen bereitstellen wollt, um Probleme schnell zu beheben, dann sucht euch ein anderes Geschäftsfeld", polterte Stanley in einer Podiumsdiskussion.
Microsoft weist erneut darauf hin, dass dieses Jahr der Support für mehrere Windows-Versionen ausläuft. Für Windows 2000 gibt es ab dem 13. Juli 2010 gar keine Updates mehr. Windows XP Service Pack 2 wird nur noch bis zum 13. Juli 2010 unterstützt. Ein Update auf SP3 ist also angeraten. Daneben wird Windows Vista RTM nur bis zum 13. April 2010 unterstützt, Vista SP1 immerhin noch bis 12. Juli 2011.
Siehe dazu auch:
- Experten diskutieren über verantwortungsvolle Offenlegung von Sicherheitslücken
- Zero-Day-Exploit für den Internet Explorer
- Microsoft bestätigt neue Lücke im Internet Explorer
- Microsoft bestätigt IIS-Lücke
- DoS-Schwachstelle im SMB-Client von Windows 7 und Server 2008 R2
- Sicherheitsfunktion des Internet Explorer 8 unsicher
(dab)
