Microsofts Groß-Patchday schließt fast 30 Sicherheitslücken
Die Desktopsuche in Windows Vista und Windows Server 2008 weist zwei als gefährlich klassifizierte Sicherheitslücken auf, die zum Ausführen von Schadcode missbraucht werden können. Dafür muss ein Angreifer den Nutzer dazu bringen, im Windows Explorer eine gespeicherte Suchdatei zu öffnen oder eine Such-URL aufzurufen, die beide manipuliert sind, was für das Opfer aber nicht erkennbar ist. Zwar gibt es Microsofts Desktopsuche auch für Windows XP, die genannten Sicherheitslücken machen sich dort aber nicht bemerkbar. Für Windows Vista und Windows Server 2008 steht ein Patch(öffnet im neuen Fenster) als Download zur Verfügung.
In der Windows-Komponente GDI (Graphics Device Interface) wurden zwei gefährliche Sicherheitslöcher gefunden, die beide durch entsprechend präparierte WMF-Dateien ausgenutzt werden können. Werden Anwender zum Öffnen einer solchen WMF-Datei verleitet, kann ein Angreifer beliebigen Programmcode ausführen. Mit einem Patch(öffnet im neuen Fenster) für Windows 2000, XP, Vista, Windows Server 2003 sowie 2008 werden die beiden Fehler beseitigt.
Vier Sicherheitslecks im Internet Explorer der Versionen 5, 6 und 7 gestatten Angreifern das Ausführen schadhaften Programmcodes. Sie müssen Nutzer lediglich dazu verleiten, mit dem Internet Explorer eine speziell gestaltete Webseite zu öffnen. Mit einem Patch(öffnet im neuen Fenster) für den Internet Explorer sollen die vier als gefährlich bewerteten Sicherheitslücken geschlossen werden.
Gleich sechs als kritisch eingestufte Sicherheitslücken befinden sich in mehreren ActiveX-Steuerelementen für die Visual Basic 6.0 Runtime Extended Files. Damit sind die Microsoft-Produkte Office Frontpage 2002, Office Project 2003 sowie 2007 und Visual Studio .Net 2002 und 2003, Visual Fox Pro 8.0 sowie 9.0 betroffen. Alle Sicherheitslücken lassen sich ausnutzen, indem Opfer zum Öffnen einer präparierten Webseite mit dem Internet Explorer verleitet werden, so dass Schadcode ausgeführt werden kann.
Auf Systemen mit Windows Server 2003 oder 2008 besteht ein geringeres Risiko, weil der Internet Explorer auf diesen Systemen in einem eingeschränkteren Modus verwendet wird. Eines dieser sechs Sicherheitslöcher war bereits bekannt und wurde aktiv ausgenutzt. Anwender sind daher aufgerufen, den bereitgestellten Patch(öffnet im neuen Fenster) möglichst bald zu installieren.
Microsofts Textverarbeitung Word sowie der Word Viewer und Outlook weisen insgesamt acht gefährliche Sicherheitslücken auf, die allesamt zur Ausführung von Schadcode missbraucht werden können. Ein Angreifer muss ein Opfer nur dazu verleiten, mit Word oder dem Word Viewer eine Word- oder RTF-Datei zu öffnen, die für den Anwender nicht erkennbar manipuliert sind. Die Sicherheitslöcher befinden sich in Office 2000, XP, 2003, 2007, in Works 8.5 sowie im Word Viewer 2003 samt der bereitgestellten Compatibility Packs und in Office 2004 sowie 2008 für Mac. Auch der XML-Dateiformatkonverter für MacOS weist die Sicherheitslecks auf. Mit dem veröffentlichten Patch(öffnet im neuen Fenster) sollen diese Fehler beseitigt werden.
Auch in der Tabellenkalkulation Excel wurden gefährliche Sicherheitslecks entdeckt, insgesamt drei an der Zahl. Diese erlauben Angreifern gleichfalls die Ausführung von Schadcode, indem entsprechend präparierte Excel-Dokumente damit geöffnet werden. Die Fehler finden sich in den Office-Versionen 2000, XP, 2003, 2007 sowie dem Excel Viewer mit Compatibility Pack. Diese drei Sicherheitslücken betreffen auch Mac-Syseme, namentlich sind das Office 2004 und 2008 für Mac sowie der XML-Dateiformatkonverter für MacOS. Für diese Produkte steht ein Patch(öffnet im neuen Fenster) bereit, der die Fehler beseitigt.
Zwei weitere Sicherheitslücken im Windows Media Player und den Komponenten Windows Media Format Runtime sowie Windows Media-Dienste werden lediglich als hoch, nicht aber als kritisch bewertet, obwohl Angreifer auch darüber beliebigen Programmcode ausführen können. Opfer müssen lediglich dazu gebracht werden, einen bestimmten Server zu besuchen und dort entsprechend präparierte Dateien herunterzuladen. Der bereitgestellte Patch(öffnet im neuen Fenster) soll die Fehler beheben.
Einen weiteren Patch(öffnet im neuen Fenster) gibt es für Office SharePoint Server 2007 und den Search Server 2008. In beiden Produkten befindet sich ein Sicherheitsloch, das Angreifer zur Ausweitung der Nutzerrechte missbrauchen können. Dies kann für Denial-of-Service-Angriffe oder zum Einsehen vertraulicher Informationen missbraucht werden.
Alle aufgelisteten Patches werden auch über Microsoft Update verteilt.