Microsoft will kritische Windows-Lücke schließen
Nur zwei Sicherheits-Updates will Microsoft am kommenden Dienstag, den 11. Mai, veröffentlichen. Die Updates sollen jeweils eine Lücke in Windows und in Office schließen.
- Daniel Bachfeld
Nur zwei Sicherheits-Updates will Microsoft am kommenden Dienstag, den 11. Mai, veröffentlichen. Die Updates sollen jeweils eine Lücke in Windows und in Office sowie Visual Basic for Applications schließen. Kritisch sind nach Einschätzung von Microsoft jedoch nur die Fehler in Windows und VBA. Zwar ist der Fehler im Betriebssystem auch in Windows 7 und Server 2008 zu finden, er lässt sich laut Microsoft in der Standardinstallation jedoch nicht ausnutzen.
Die Cross-Site-Scripting-Lücke in SharePoint bleibt indes weiter offen. Angreifer können dadurch das Authentifizierungscookie auslesen, das Konto des Anwenders manipulieren oder auf vertrauliche Daten zugreifen. Um Opfer eines Angriffs zu werden, muss man jedoch auf einen manipulierten Link klicken.
Nach Angaben von Microsoft soll das Problem in Zusammenarbeit mit dem Internet Explorer 8 nicht zum Tragen kommen, da dort der XSS-Filter den Angriff erkennt und verhindert. Bis zur Bereitstellung eines Patches empfiehlt Microsoft, den Zugriff auf das fehlerhafte Skript zu verhindern. Administratoren müssen nach Angaben von Microsoft dazu auf dem Share-Point-Server folgende Befehle durchführen:
cacls "%ProgramFiles%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /P everyone:N
cacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /P everyone:N
Siehe dazu auch:
(dab)
