Patches für Internet Explorer, Windows und Office

Neun Sicherheitslücken erlauben die Ausführung von Programmcode. Microsoft hat in diesem Monat insgesamt sechs Security Bulletins veröffentlicht, die summa summarum zwölf Sicherheitslücken beseitigen. Fünf Fehler betreffen den Internet Explorer und ebenfalls fünf Sicherheitslecks wurden in Windows entdeckt. Zwei Bulletins beseitigen Sicherheitslücken in Microsofts Office-Software.

9. Dezember 2009 um 10:22 Uhr / Ingo Pakalski

22 Kommentare Auf Google folgen (öffnet im neuen Fenster)

Der Sammelpatch für den Internet Explorer(öffnet im neuen Fenster) steht für die Versionen 5.01 bis 8 bereit und schließt insgesamt fünf Sicherheitslücken. Unter anderem wird ein seit Ende November 2009 bekannter Fehler beseitigt. Alle fünf Fehler können Angreifer zum Ausführen von Programmcode missbrauchen.

In allen Windows-Versionen außer in Windows 7 und Windows Server 2008 R2 korrigiert ein Patch(öffnet im neuen Fenster) zwei Sicherheitslücken. Ein Fehler betrifft die PEAP-Implementierungen für den Internet-Authentifizierungsdienst, so dass ein Angreifer Programmcode ausführen kann, indem eine PEAP-Authentifizierungsanforderung mit ungültigem Format an einen ISA-Server gesendet wird. Der zweite Fehler lässt sich mit einer speziell präparierten CHAP-v2-Authentifizierungsanforderung für die Erhöhung von Berechtigungen nutzen.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: TechRiders Summit – Europas Plattform für digitale Souveränität, IT Strategy & Execution

zum Ratgeber

Seminar: Web-Accessibility in der Praxis – Techniken und Automatisierung: Virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Exklusiv: Ethical Hacking All-in-One: Vom Einstieg bis zu komplexen Angriffen (E-Learning Paket mit 6 Kursen)

zum Kurs

In den Windows-Server-Versionen 2003 sowie 2008 wurden zwei Sicherheitslücken in den Active Directory Federation Services (ADFS) gefunden. Ein Fehler kann zur Ausführung beliebigen Programmcodes missbraucht werden, indem ein Angreifer eine HTTP-Anforderung an einen entsprechenden Webserver richtet. Dazu muss der Angreifer allerdings am System angemeldet sein. Beim zweiten Fehler ist eine Anmeldung an einem Webserver mit einer anderen Benutzerkennung möglich, so dass auf vertrauliche Daten zugegriffen werden kann. Beide Fehler will der veröffentlichte Patch(öffnet im neuen Fenster) beseitigen.

Ein weiteres Sicherheitsloch befindet sich im LSASS-Dienst von Windows 2000, XP sowie Windows Server 2003. Über eine per IPSec verschickte und manipulierte ISAKMP-Nachricht kann der LSASS-Dienst außer Betrieb gesetzt werden. Mit einem Patch(öffnet im neuen Fenster) soll der Fehler nun beseitigt werden.

Beim Öffnen einer manipulierten Datei im Format von Word 97 kommen Wordpad sowie Word 2002 und 2003 aus dem Tritt und ein Angreifer kann dann Schadcode ausführen. Das Sicherheitsleck steckt im Textkonverter der betroffenen Komponenten und soll mit dem veröffentlichten Patch(öffnet im neuen Fenster) beseitigt werden.

Schließlich korrigiert Microsoft noch einen Fehler in der Office-Software Project 2000, 2002 sowie 2003, der beim Öffnen von Project-Dateien auftritt. Sind diese entsprechend manipuliert, kann ein Angreifer beliebigen Programmcode ausführen. Mit dem veröffentlichten Patch(öffnet im neuen Fenster) will Microsoft den Fehler korrigieren.

Zur Startseite 22 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Relevante Themen