Patch-Day nimmt Windows-Lücken und Office-Löcher ins Visier

In Windows XP sowie in der 64-Bit-Edition des Betriebssystems steckt ein weiteres Sicherheitsleck, worüber man via Internet ohne entsprechende Berechtigung den Nutzernamen über eine offene Verbindung auslesen kann. Das Sicherheitsloch steckt in den Named Pipes, worüber Prozesse miteinander kommunizieren. Die Sicherheitslücke wird nur wirksam, wenn der Computer-Browser aktiviert ist, was in Windows XP Service Pack 1 standardmäßig der Fall ist, aber nicht im Windows XP Service Pack 2. Für die betreffenden Windows-XP-Versionen stehen Patches über ein Security Bulletin zum Download zur Verfügung.

Über ein schweres Sicherheitsleck in den Office-XP-Applikationen Word und PowerPoint kann ein Angreifer über einen Buffer Overrun beliebigen Programmcode auf einem entsprechenden System ausführen. Der Buffer Overrun tritt bei der Verarbeitung von URLs auf, wenn ein Angreifer diese entsprechend manipuliert. Zur Ausnutzung des Sicherheitslecks müssen Nutzer von Office-XP-Applikationen lediglich dazu gebracht werden, einen entsprechend präparierten Link zu öffnen, der etwa in einer E-Mail oder auf einer Webseite enthalten sein kann. Da das Sicherheitsleck in Word 2002 und PowerPoint 2002 steckt, findet sich das Sicherheitsloch auch in den Produkten Works Suite 2002, 2003 sowie 2004 und Project 2002 sowie Visio 2002. Sowohl in Office 2000 als auch in Office 2003 kann dieses Sicherheitsloch nicht ausgenutzt werden. Microsoft bietet einen Patch über das Security Bulletin an.

Ein Sicherheitsloch in Microsofts .NET Framework der Versionen 1.0 sowie 1.1 gestattet einem Angreifer, die Sicherheitsschranken einer ASP.NET-Webseite zu umgehen und sich so unberechtigten Zugriff zu einer betreffenden Seite zu verschaffen. Der Angreifer kann dann zahlreiche Aktionen ausführen, was vom Inhalt der betreffenden Webseite abhängt. Ein Patch steht via Security Bulletin zum Download bereit.

Ein weiteres Sicherheitsloch wurde schließlich in den SharePoint Services und den SharePoint Team Services entdeckt. Über eine Cross-Site-Scritping-Sicherheitslücke kann ein Angreifer ein Opfer dazu bringen, schadhaften Script-Code in den eingestellten Sicherheitseinstellungen auszuführen, indem das Opfer auf eine entsprechend präparierte Webseite gelockt wird. Ein über das Security Bulletin bereitgestellter Patch beseitigt das Sicherheitsloch.

Alle hier genannten Sicherheits-Patches sollen außer über die betreffenden Security Bulletins auch über die Windows-Update-Funktion verfügbar sein.