Abo

Services:

Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 2,50€ im Monat

Fehlerkorrekturen für Windows und Office

Schwere Sicherheitslücken erlauben Ausführung von Programmcode

Aus den 12 angekündigten Security Bulletins von Microsoft für den Monat Februar 2008 wurden nun doch nur 11, weil ein Patch noch Fehler aufwies. Damit werden insgesamt 17 Sicherheitslücken in Windows und Microsofts Office-Paket geschlossen. Die besonders gefährlichen Lecks erlauben Angreifern das Ausführen von Programmcode und verschaffen ihnen damit eine umfassende Kontrolle über ein fremdes System.

Mit einem Sammel-Patch für den Internet Explorer korrigiert Microsoft insgesamt vier bislang offene Sicherheitslücken in dem Browser, die allesamt zum Ausführen von Schadcode missbraucht werden können. Angreifer müssen ihre Opfer lediglich dazu verleiten, eine entsprechend manipulierte Webseite mit dem Internet Explorer zu öffnen.

Ein weiteres ebenfalls als kritisch eingestuftes Sicherheitsloch im OLE-Protokoll betrifft die Windows-Plattform im Allgemeinen sowie Office 2004 für Mac und Visual Basic 6.0. Über manipulierte Skriptanforderungen in einer Webseite lässt sich das Sicherheitsleck ausnutzen, das mit einem Patch beseitigt wird.

Ein schweres Sicherheitsloch steckt zudem in den Office-Versionen 2000, XP, 2003 sowie 2004 für Mac. Über manipulierte Office-Dateien lässt sich schadhafter Code ausführen, was auch für ein ebenfalls als gefährlich klassifiziertes Sicherheitsloch in Word 2000, 2002 sowie 2003 gilt.

Gleich zwei Sicherheitslücken finden sich im Publisher 2000, 2002 sowie 2003: Angreifer können diese mit Hilfe manipulierter Dokumente zum Ausführen von Schadcode missbrauchen. Ein Patch für die betroffenen Komponenten soll die Fehler ausmerzen. Auch wenn vier weitere Sicherheitslecks im Works-Konverter von Office 2003, der Works Suite 8.0 und 2005 zur Code-Ausführung missbraucht werden können, werden diese als weniger gefährlich bewertet. Der zugehörige Patch beseitigt diese vier Lecks mit einem Schlag.

Die Windows-Komponente WebDAV-Miniredirector verarbeitet schädliche WebDAV-Antworten nicht korrekt, so dass Angreifer darüber ebenfalls Schadcode ausführen können. Einzig Windows 2000 ist von dem Problem nicht betroffen; für alle anderen Windows-Versionen gibt es einen Patch.

Ein weiteres Sicherheitsleck steckt in den Internet Information Services von Windows XP sowie Windows Server 2003. Mit einem Patch soll verhindert werden, dass sich über spezielle Eingaben an eine ASP-Seite Schadcode einschleusen und ausführen lässt. Die Internet Information Services der Windows-Plattform weisen eine weitere Sicherheitslücke auf, über die sich ein angemeldeter Anwender höhere Rechte verschaffen kann.

Eine Denial-of-Service-Attacke ist über eine Sicherheitslücke im Active-Directory-Dienst von Windows 2000 Server, XP Professional sowie Windows Server 2003 möglich, die ein Patch schließen soll. Der gleiche Angriff ist durch eine Sicherheitslücke in Windows Vista möglich, weil die TCP/IP-Verarbeitung fehlerhaft arbeitet, wenn Datenpakete von einem DHCP-Server kommen. Der Patch soll das Problem lösen und dafür sorgen, dass Systeme mit Windows Vista dann nicht mehr automatisch neu starten.

Alle genannten Sicherheits-Patches verteilt Microsoft auch über die Update-Funktion des Betriebssystems, so dass diese darüber gesammelt heruntergeladen werden können.