Patch-Day: Microsoft schließt zwei Windows-Sicherheitslecks
Wie bei Microsoft ab und an üblich, behandelt das für Windows erschienene Security Bulletin nicht nur eine Sicherheitslücke, sondern korrigiert gleich zwei davon. Beide Lecks betreffen den Windows-Dienst "Microsoft Distributed Transaction Coordinator" (MSDTC) und verhelfen Angreifern über manipulierte Netzwerknachrichten zu einem Denial-of-Service-Angriff. Das Risiko stuft Microsoft als mittel ein. Passende Patches gibt es für Windows 2000, XP und Windows Server 2003 zum Download(öffnet im neuen Fenster) . Beide(öffnet im neuen Fenster) Sicherheitslecks(öffnet im neuen Fenster) wurden von eEye entdeckt und bereits im Oktober 2005 an Microsoft gemeldet, womit die Fehlerkorrektur rund sieben Monate gedauert hat.
Eine Sicherheitslücke im Kalender des Exchange Server tritt bei der Verarbeitung von iCal- oder vCal-Daten auf und erlaubt einem Angreifer über speziell modifizierte Daten eine vollständige Kontrolle über ein fremdes System. Dazu muss er einem Exchange Server lediglich entsprechend manipulierte Daten unterschieben. Für den Exchange Server 2000 sowie 2003 bietet Microsoft den nötigen Patch zum Download(öffnet im neuen Fenster) an.
Das dritte Sicherheitsloch am Patch-Day für den Monat Mai 2006 bezieht sich auf zwei Sicherheitslecks in Adobes Flash-Player. Die eine Sicherheitslücke wurde bereits im November 2005 gestopft, während das zweite Sicherheitsrisiko Mitte März 2006 durch einen Patch beseitigt wurde. Dennoch bietet Microsoft nun für die Windows-Plattform einen Patch zum Download(öffnet im neuen Fenster) an, womit die Lecks abermals geschlossen werden. Wer die damaligen Patches für den Flash-Player installiert, muss das Update nicht installieren.
Winboard.org bietet bereits inoffizielle Update-Pakete für Windows 2000 mit Service Pack 4, für Windows XP mit Service Pack 1 oder 2, für Windows XP in der 64-Bit-Ausführung sowie für Windows Server 2003 mit Service Pack 1. Das Update-Paket für Windows XP mit Service Pack 2 steht zudem auch in englischer Sprachversion zum Download bereit. Sämtliche Patch-Pakete enthalten die aktuellen Sicherheits-Patches und werden sowohl als Vollversion als auch in einer Upgrade-Ausführung zum Download(öffnet im neuen Fenster) angeboten.
Im Lauf der Woche will Winboard.org auch die Update-Pack-CD und -DVD in aktualisierten Versionen zum Download bereitstellen.
Nachtrag vom 11. Mai 2006:
Auf der Webseite Winfuture.de finden sich mittlerweile ebenfalls Patch-Pakete für das deutschsprachige Windows XP mit Service Pack 2 sowie für Windows XP Professional x64 Edition, die jeweils als Vollversion und als Update-Variante zum Download(öffnet im neuen Fenster) bereitstehen.