Patches für 20 schwere Windows-Sicherheitslücken erschienen
Allein in einem Security Bulletin fasst Microsoft sage und schreibe 14 neu entdeckte Sicherheitslöcher in Windows zusammen, die sich auf unterschiedlichste Betriebssystem-Komponenten beziehen. Viele der darin genannten Sicherheitslücken erlauben einem Angreifer, die vollständige Kontrolle über ein fremdes System zu erlangen, um etwa Daten zu löschen, Programme zu installieren oder auch neue Benutzerkonten mit Administratorrechten anzulegen.
Die Sicherheitslöcher befinden sich unter anderem in den Windows-Komponenten LSASS (Local Security Authority Subsystem Service), im Logon-Dienst, im Task-Manager und in der ASN.1-Library. Aber auch beim Umgang mit Metafiles, bei verschlüsselten SSL-Verbindungen, im Hilfe-Center sowie in der Virtual DOS Machine (VDM) wurden Sicherheitslöcher entdeckt, die mit bereitgestellten Patches(öffnet im neuen Fenster) für Windows 98, 98 SE, Millennium, NT 4.0, 2000, XP und Server 2003 behoben werden sollen.
In einem gesonderten Security Bulletin fasste Microsoft vier weitere Sicherheitslecks in der Windows-Komponente RPC/DCOM zusammen. Es bleibt an dieser Stelle unklar, nach welchen Kriterien Microsoft die Sicherheitslöcher zu einem Security Bulletin zusammenfasst und wann diese – wie im Fall der RPC-Lücken – in einem gesonderten Security Bulletin erscheinen.
Im schlimmsten Fall kann über die neu bekannt gewordenen RPC-Sicherheitslecks ein Angreifer umfassende Kontrolle über ein fremdes System erlangen, um Programme zu installieren oder sogar Benutzerkonten mit Administratorrechten anzulegen. Patches(öffnet im neuen Fenster) für die betroffenen Windows-Versionen NT 4.0, 2000, XP und Server 2003 stehen ab sofort zum Download bereit. Diese Patches beheben auch die frühere RPC-Sicherheitslücke , über die sich der Blaster-Wurm vor einiger Zeit massiv verbreiten konnte und die der Auslöser dafür war, dass Microsoft die Strategie bei der Veröffentlichung von Security Bulletins änderte.
Einer weiteren Sicherheitslücke im Windows-Betriebssystem wurde ebenfalls ein gesondertes Security Bulletin gewidmet, welches den Umgang von Outlook Express mit MHTML-URLs betrifft. Über speziell formatierte MHTML-URLs kann das Sicherheitszonen-Modell von Outlook Express ausgehebelt werden, worüber ein Angreifer Code in der lokalen Sicherheitszone mit den Rechten des angemeldeten Nutzers ausführen kann. Als Angriffswerkzeug kann sowohl eine HTML-Mail als auch eine Webseite dienen. Die Patches(öffnet im neuen Fenster) für Outlook Express 5.5 und 6.0 beseitigen auch frühere Sicherheitslücken in dem E-Mail-Client.
Schließlich steckt eine Sicherheitslücke im Jet-Datenbankmodul der Version 4.0, worüber ein Angreifer über einen Buffer Overrun beliebigen Programmcode auf einem fremden System ausführen kann, indem speziell formatierte Datenbank-Befehle an Jet gereicht werden. Neben der Möglichkeit, beliebige Programme zu installieren, kann ein Angreifer auch neue Benutzer mit Administratorrechten anlegen und damit auch so vollständige Kontrolle über das betreffende System erlangen. Die Jet-Engine ist Bestandteil von Windows 98, 98 SE, Millennium, NT 4.0, 2000, XP und Server 2003 sowie den Office-Paketen und Visual Studio. Passende Patches(öffnet im neuen Fenster) für die verschiedenen Windows-Betriebssysteme stehen zum Download bereit, während keine Patches für die ebenfalls betroffenen Office-Pakete oder Visual Studio angeboten werden.
Alle hier aufgeführten Patches lassen sich über die angegebenen Download-Adressen manuell laden und installieren, können aber auch über die im Betriebssystem integrierte Update-Funktion eingespielt werden.