Sieben Sicherheitsmeldungen zu Microsofts Patchday
Am nächsten Dienstag ist wieder Microsofts Patchday. Das Unternehmen will vier Security-Bulletins für Windows und drei für Office herausgeben.
Am kommenden Dienstag wird Microsoft insgesamt sieben Security-Bulletins veröffentlichen. Davon behandeln vier Schwachstellen in Windows und drei Sicherheitslecks im Office-Paket. Microsoft stuft die Tragweite mindestens eines der Bulletins als kritisch ein. Die am Dienstag ausgelieferten Updates werden einen Neustart des Systems erfordern.
Wie üblich gibt Microsoft nicht an, welche Schwachstellen am Patchday geschlossen werden. Es ist jedoch wahrscheinlich, dass der Softwarekonzern am Dienstag die Sicherheitslücken in Excel stopft. Kurz nach dem Juni-Patchday wurden Fehler in der Tabellenkalkulation bekannt, wodurch Angreifer mittels manipulierter Excel-Dateien Schadsoftware ins System einschleusen können. Außerdem tritt ein Pufferüberlauf mit gleichen Folgen durch überlange Links in den Tabellen auf. Eine mögliche dritte Schwachstelle betrifft eingebettete Objekte in Excel-Dokumenten. Und gerade meldet der Sicherheitsdienstleister Secunia ein viertes Problem in Excel, das wohl aber nur asiatische Versionen der Software betrifft. Dort können überlange Styles einen Pufferüberlauf provozieren.
Möglicherweise schließen ein oder mehrere der Patches zu den Windows-Security-Bulletins auch einige der diversen Sicherheitslücken im Internet Explorer. Der Metasploit-Entwickler H.D.Moore veröffentlicht im Rahmen seiner Aktion Month of the Browser Bugs (MoBB) im Juli täglich eine Schwachstelle in Webbrowsern. Einige der bis jetzt von ihm veröffentlichten Sicherheitslücken, etwa im ActiveX-Modul HHCtrl zur Anzeige von HTML-Hilfe-Dateien oder im ActiveX-Control ADODB, führen zumindest zum Absturz des Browsers. Angreifer könnten womöglich jedoch auch beliebigen Code durch die Lücken einschleusen.
Weiterhin steht ein Patch für eine von Plebo Aesdi Nael entdeckte Internet-Explorer-Lücke aus, durch die Angreifer Anwender dazu bringen könnten, als HTML-Applikationen verpackte Schadsoftware auf den Rechner herunterzuladen und auszuführen. Außerdem fand er einen Fehler im Cross-Domain-Schutz, wodurch Webseiten Inhalte anderer Seiten auslesen könnten.
Siehe dazu auch: (dmk)
- Microsoft Excel Style Buffer Overflow Vulnerability, Sicherheitsmeldung von Secunia
- Microsoft Security Bulletin Advance Notification, Vorankündigung der Security-Bulletins von Microsoft
