Microsoft: Kritische Fehler - nicht nur unter Windows

Updates für Windows, Office (for Mac), VirtualPC und den Windows Media-Player

Sechs "kritische" und drei "wichtige" Sicherheits-Updates hat Microsoft zum August-Patchday veröffentlicht. Beseitigt werden vor allem Fehler in Windows und Office, einschließlich Office for Mac.

Artikel veröffentlicht am ,

Der erste kritische Fehler (MS07-042) steckt in den XML Core Services, die Nutzer manuell einspielen können, die aber auch durch Microsoft Office 2007 installiert werden. Als Einfallstor dient der Internet Explorer, wobei sich mit entsprechend präparierten Webseiten Code mit den Rechten des eingeloggten Benutzers ausführen lässt. Betroffen sind praktisch alle aktuellen Windows-Versionen.

Stellenmarkt
  1. Senior Fullstack Developer (m/w/d)
    Hays AG, Hamburg
  2. Service Administrator IT-Support (m/w/d)
    BUCS IT GmbH, Wuppertal
Detailsuche

Der zweite kritische Fehler (MS07-043) im Bunde trifft vor allem Windows XP und Microsoft Office 2004 for Mac, nicht aber Windows Vista. Auch hier lassen sich über speziell präparierte Webseiten Angriffe ausführen, die in diesem Fall einen Fehler im Object Linking and Embedding (OLE) erzeugen, der es erlaubt, mit den Rechten des eingeloggten Nutzers Änderungen am System vorzunehmen.

Excel (MS07-044) hat eine Schwäche im Umgang mit fehlerhaften Dateien, worüber sich Code einschleusen lässt, der wiederum mit den Rechten des jeweiligen Nutzers ausgeführt wird. Betroffen ist hier vor allem Office 2000 mit Service Pack 3, bei neueren Versionen einschließlich Office 2004 for Mac stuft Microsoft dieses Update "nur" als wichtig ein.

Gleich drei kritische Fehler (MS07-045) stopft Microsoft mit einem Update für den Internet Explorer, der bei bestimmten Strings in CSS-Anweisungen aus dem Tritt kommt und das Ausführen fremden Codes erlaubt. Zudem setzt das Update ein Kill-Bit für diverse ActiveX-Objekte, die andernfalls zum Einschleusen von Code über den Internet Explorer ausgenutzt werden können, obwohl einige davon nie für die Nutzung im Internet Explorer vorgesehen waren. Betroffen sind vor allem ältere IE-Versionen, konkret IE 5.01 und 6 unter Windows XP. Bei IE 7 bzw. IE6 auf neueren Windows-Versionen nennt Microsoft diese Update nur wichtig, nicht kritisch.

Eine weitere kritische Sicherheitslücke (MS07-046) steckt in der "Graphics Rendering Engine" von Windows 2000, XP und Server 2003. Mit speziell präparierten Bildern lässt sich Code mit den Rechten des jeweiligen Nutzers ausführen, wenn dieser ein entsprechendes Bild, das z.B. als E-Mail-Anhang kommt, öffnet.

Ein Fehler (MS07-050) in der Vector Markup Language (VML) trifft den Internet Explorer 5.01, 6 und 7 unter Windows 2000, XP und Vista. Über eine Webseite oder HTML-E-Mail lässt sich ein Puffer-Überlauf erzeugen und so Code einschleusen.

Als "wichtig" deklariert Microsoft drei weitere Updates: eines für Virtual PC und Virtual Server (MS07-049), eines für den Umgang von Windows Vista mit RSS-Feeds (MS07-048) und eines für den Windows Media Player 7 bis 11 unter Windows 2000, XP und Vista.

Eine Übersicht der August-Updates von Microsoft findet sich im Microsoft Security Bulletin Summary for August 2007.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kooperation
Amazon Kreditkarte mit Landesbank Berlin wird eingestellt

Während der ADAC seine Kunden bereits informiert hat, schweigt Amazon Deutschland noch zum Ende der Kooperation mit der Landesbank Berlin.

Kooperation: Amazon Kreditkarte mit Landesbank Berlin wird eingestellt
Artikel
  1. Linux: Vom einfachen Speicherfehler zur Systemübernahme
    Linux
    Vom einfachen Speicherfehler zur Systemübernahme

    Ein häufig vorkommender Fehler in C-Code hat einen Google-Entwickler motiviert, über Gegenmaßnahmen nachzudenken.

  2. Social-Media-Plattform: Paypal will Pinterest kaufen
    Social-Media-Plattform
    Paypal will Pinterest kaufen

    Der Zahlungsabwickler Paypal soll bereit sein, 45 Milliarden US-Dollar für den Betreiber digitaler Pinnwände zu bezahlen.

  3. Pixel 6 (Pro): Googles Tensor-SoC ist eine wilde Mischung
    Pixel 6 (Pro)
    Googles Tensor-SoC ist eine wilde Mischung

    Viel Samsung, wenig Google: Der Chip kombiniert extreme Computational Photography mit einem kuriosen Design zugunsten der Akkulaufzeit.
    Eine Analyse von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week Finale: Bis 33% auf Digitus-Monitorhalterungen & bis 36 Prozent auf EVGA-Netzteile • Samsung-Monitore (u. a. 24" FHD 144Hz 169€) • Bosch Professional zu Bestpreisen • Sandisk Ultra 3D 500GB 47,99€ • Google Pixel 6 vorbestellbar ab 649€ + Bose Headphones als Geschenk [Werbung]
    •  /