Patches für 20 schwere Windows-Sicherheitslücken erschienen

Einer weiteren Sicherheitslücke im Windows-Betriebssystem wurde ebenfalls ein gesondertes Security Bulletin gewidmet, welches den Umgang von Outlook Express mit MHTML-URLs betrifft. Über speziell formatierte MHTML-URLs kann das Sicherheitszonen-Modell von Outlook Express ausgehebelt werden, worüber ein Angreifer Code in der lokalen Sicherheitszone mit den Rechten des angemeldeten Nutzers ausführen kann. Als Angriffswerkzeug kann sowohl eine HTML-Mail als auch eine Webseite dienen. Die Patches für Outlook Express 5.5 und 6.0 beseitigen auch frühere Sicherheitslücken in dem E-Mail-Client.

Schließlich steckt eine Sicherheitslücke im Jet-Datenbankmodul der Version 4.0, worüber ein Angreifer über einen Buffer Overrun beliebigen Programmcode auf einem fremden System ausführen kann, indem speziell formatierte Datenbank-Befehle an Jet gereicht werden. Neben der Möglichkeit, beliebige Programme zu installieren, kann ein Angreifer auch neue Benutzer mit Administratorrechten anlegen und damit auch so vollständige Kontrolle über das betreffende System erlangen. Die Jet-Engine ist Bestandteil von Windows 98, 98 SE, Millennium, NT 4.0, 2000, XP und Server 2003 sowie den Office-Paketen und Visual Studio. Passende Patches für die verschiedenen Windows-Betriebssysteme stehen zum Download bereit, während keine Patches für die ebenfalls betroffenen Office-Pakete oder Visual Studio angeboten werden.

Alle hier aufgeführten Patches lassen sich über die angegebenen Download-Adressen manuell laden und installieren, können aber auch über die im Betriebssystem integrierte Update-Funktion eingespielt werden.