Microsofts Updatewelle: 13 Patches für 34 Sicherheitslücken
Vier Sicherheitslücken wurden im Internet Explorer ab der Version 5.01 entdeckt, die auch den neuen Internet Explorer 8 betreffen, der mit Windows 7 ausgeliefert wird. Opfer müssen lediglich eine präparierte Webseite mit Microsofts Browser öffnen, damit Angreifer beliebigen Programmcode ausführen und eine umfassende Kontrolle über das System erhalten können. Der Patch für den Internet Explorer 5.01, 6, 7 und 8(öffnet im neuen Fenster) soll die Fehler korrigieren.
Ebenfalls im Internet Explorer und damit auch in Windows 7 macht sich ein Fehler bemerkbar, der gleichfalls das Ausführen von Schadcode erlaubt, wenn eine manipulierte Webseite aufgerufen wird. Das Sicherheitsloch steckt im ATL-COM-ActiveX und wird mit dem Patch für Windows 2000, XP, Vista, 7, Windows Server 2003, 2008 und 2008 R2(öffnet im neuen Fenster) geschlossen.
Ein Fehler im Indexdienst von Windows 2000, XP sowie Windows Server 2003(öffnet im neuen Fenster) wird ebenfalls von Angreifern ausgenutzt, indem sie ihre Opfer zum Öffnen einer präparierten Webseite verleiten. Hat das Erfolg, lässt sich beliebiger Code auf einem fremden System ausführen. Windows Vista, Windows 7 und Windows Server 2008 kennen das Sicherheitsloch nicht.
Fehler in Silverlight und im .Net Framework
Drei Sicherheitslücken in Microsofts .Net Framework sowie in Silverlight lassen sich ebenfalls über eine manipulierte Webseite ausnutzen. Im schlimmsten Fall erhält ein Unbefugter dann vollständigen Zugriff auf ein fremdes System. Microsoft hat einen Patch für das .Net Framework 1.1 und 2.0 sowie für Silverlight 2(öffnet im neuen Fenster) veröffentlicht. Systeme mit dem .Net Framework ab der Version 3.0 oder mit Silverlight 3 sind davon nicht betroffen.
Die Crypto-API-Komponente von Windows 2000, XP, Vista, 7, Windows Server 2003, 2008 sowie 2008 R2 weist zwei Sicherheitslücken(öffnet im neuen Fenster) auf, die für Spoofing-Angriffe genutzt werden können. Ebenfalls in allen Windows-Versionen einschließlich Windows 7 steckt ein Sicherheitsloch(öffnet im neuen Fenster) , über das ein Denial-of-Service-Angriff möglich ist. Ein Angreifer muss dazu während des NTLM-Authentifizierungsprozesses ein speziell gestaltetes Datenpaket senden.
Im Windows-Kernel korrigiert Microsoft drei Sicherheitslücken(öffnet im neuen Fenster) , die zum Erhöhen von Nutzerrechten oder für einen Denial-of-Service-Angriff verwendet werden können. Ein Angreifer muss sich dazu am betreffenden System anmelden können, Angriffe aus der Ferne sind ausgeschlossen. Die drei Fehler stecken in Windows 2000, XP, Vista, Windows Server 2003 sowie 2008.
Office mit Sicherheitslücken gespickt
Im Zusammenspiel mit Office XP, 2003 und 2007 wurden drei Sicherheitslücken gefunden, über die sich im schlimmsten Fall schadhafter Programmcode einschleusen lässt. Mit dem verfügbaren Patch sollen die Fehler korrigiert(öffnet im neuen Fenster) werden.
Mit einem Patch für GDI+ beseitigt Microsoft mit einem Schlag acht Sicherheitslücken(öffnet im neuen Fenster) , die allesamt als gefährlich eingestuft sind, weil sich darüber beliebiger Programmcode ausführen lässt. Von den Fehlern sind Windows 2000, XP, Vista mit Service Pack 1, Windows Server 2003 sowie 2008, Office XP, 2003 und 2007, Office Project 2002, Visio 2002, die Viewer für Word, Excel und Powerpoint, Works 8.5, Expression Web, SQL Server 2005, Visual Studio .Net 2003, 2005 und 2008 sowie Visual FoxPro 8.0 und 9.0 betroffen.
Fehler im Windows Media Player
Zwei als gefährlich klassifizierte Sicherheitslücken stecken in der Windows Media Runtime von Windows 2000, XP, Vista, Windows Server 2003 sowie 2008. Angreifer können über präparierte ASF-Dateien oder manipulierte, komprimierte Audiodateien auf einem fremden System schadhaften Programmcode ausführen. Ein Patch steht als Download(öffnet im neuen Fenster) bereit. Ein weiterer Patch korrigiert ein Sicherheitsloch im Windows Media Player(öffnet im neuen Fenster) , das sich ebenfalls über manipulierte ASF-Dateien ausnutzen lässt. Dieser Fehler steckt nur im Windows Media Player 6.4 und betrifft damit neben Windows 2000 und XP noch Windows Server 2003.
Mit einem Patch für den Internet Information Services (IIS) 5.0, 5.1, 6.0 sowie 7.1(öffnet im neuen Fenster) werden zwei Sicherheitslücken im FTP-Dienst beseitigt, die für eine Denial-of-Service-Attacke missbraucht werden können. Auf Systemen mit IIS 5.0 können Angreifer auch Schadcode ausführen.
Ein Sicherheitspatch für SMBv2(öffnet im neuen Fenster) in Windows Vista und Windows Server 2008 korrigiert drei Sicherheitslücken. Einer der drei Fehler führt durch spezielle SMBv2-Pakete zu einem Denial-of-Service-Angriff. Die beiden anderen als gefährlich eingestuften Sicherheitslöcher können zum Ausführen von Schadcode missbraucht werden, wenn schadhafte SMB-Pakete an das entsprechende System gesendet werden. Diese beiden Fehler betreffen auch den Release Candidate von Windows 7, so dass dessen Nutzer den Patch einspielen sollten. In der fertigen Version von Windows 7 wurden die beiden Sicherheitslücken bereits geschlossen.
Alle genannten Sicherheitspatches sind auch über Windows Update zu bekommen.