Patches für Internet Explorer, Windows und Office

Neun Sicherheitslücken erlauben die Ausführung von Programmcode

Microsoft hat in diesem Monat insgesamt sechs Security Bulletins veröffentlicht, die summa summarum zwölf Sicherheitslücken beseitigen. Fünf Fehler betreffen den Internet Explorer und ebenfalls fünf Sicherheitslecks wurden in Windows entdeckt. Zwei Bulletins beseitigen Sicherheitslücken in Microsofts Office-Software.

Artikel veröffentlicht am ,

Der Sammelpatch für den Internet Explorer steht für die Versionen 5.01 bis 8 bereit und schließt insgesamt fünf Sicherheitslücken. Unter anderem wird ein seit Ende November 2009 bekannter Fehler beseitigt. Alle fünf Fehler können Angreifer zum Ausführen von Programmcode missbrauchen.

Stellenmarkt
  1. BI-Manager (w/m/d)
    VGH Versicherungen, Hannover
  2. Mitarbeiter Technischer Kundensupport - Installation (m/w/d)
    NOVENTI Health SE, Lübeck
Detailsuche

In allen Windows-Versionen außer in Windows 7 und Windows Server 2008 R2 korrigiert ein Patch zwei Sicherheitslücken. Ein Fehler betrifft die PEAP-Implementierungen für den Internet-Authentifizierungsdienst, so dass ein Angreifer Programmcode ausführen kann, indem eine PEAP-Authentifizierungsanforderung mit ungültigem Format an einen ISA-Server gesendet wird. Der zweite Fehler lässt sich mit einer speziell präparierten CHAP-v2-Authentifizierungsanforderung für die Erhöhung von Berechtigungen nutzen.

In den Windows-Server-Versionen 2003 sowie 2008 wurden zwei Sicherheitslücken in den Active Directory Federation Services (ADFS) gefunden. Ein Fehler kann zur Ausführung beliebigen Programmcodes missbraucht werden, indem ein Angreifer eine HTTP-Anforderung an einen entsprechenden Webserver richtet. Dazu muss der Angreifer allerdings am System angemeldet sein. Beim zweiten Fehler ist eine Anmeldung an einem Webserver mit einer anderen Benutzerkennung möglich, so dass auf vertrauliche Daten zugegriffen werden kann. Beide Fehler will der veröffentlichte Patch beseitigen.

Ein weiteres Sicherheitsloch befindet sich im LSASS-Dienst von Windows 2000, XP sowie Windows Server 2003. Über eine per IPSec verschickte und manipulierte ISAKMP-Nachricht kann der LSASS-Dienst außer Betrieb gesetzt werden. Mit einem Patch soll der Fehler nun beseitigt werden.

Golem Akademie
  1. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    21.–22. März 2022, Virtuell
  2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    24.–28. Januar 2022, virtuell
Weitere IT-Trainings

Beim Öffnen einer manipulierten Datei im Format von Word 97 kommen Wordpad sowie Word 2002 und 2003 aus dem Tritt und ein Angreifer kann dann Schadcode ausführen. Das Sicherheitsleck steckt im Textkonverter der betroffenen Komponenten und soll mit dem veröffentlichten Patch beseitigt werden.

Schließlich korrigiert Microsoft noch einen Fehler in der Office-Software Project 2000, 2002 sowie 2003, der beim Öffnen von Project-Dateien auftritt. Sind diese entsprechend manipuliert, kann ein Angreifer beliebigen Programmcode ausführen. Mit dem veröffentlichten Patch will Microsoft den Fehler korrigieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Lego Star Wars UCS AT-AT aufgebaut
"Das ist kein Mond, das ist ein Lego-Modell"

Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
Ein Praxistest von Oliver Nickel

Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
Artikel
  1. Mobilfunkmasten schneller bauen: Städtetag ist gegen Vorschlag des Telefónica-Chefs
    Mobilfunkmasten schneller bauen
    Städtetag ist gegen Vorschlag des Telefónica-Chefs

    Der Deutsche Städtetag lehnt die Forderung des Telefónica-Chefs ab, dass Netzbetreiber beim Bau von Mobilfunkmasten wie Tesla behandelt werden sollen.

  2. Nach Insolvenz: Hersteller von Elektroauto e.Go plant Börsengang
    Nach Insolvenz
    Hersteller von Elektroauto e.Go plant Börsengang

    Das Elektroauto-Startup Next e.go will an die Börse. Das Unternehmen könnte dort mit 1,5 Milliarden Euro bewertet werden.

  3. Wochenrückblick: Schlechte Karten
    Wochenrückblick
    Schlechte Karten

    Golem.de-Wochenrückblick Eine neue Grafikkarte und eine mysteriöse Behörde: die Woche im Video.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 120,95€ • Alternate (u.a. AKRacing Master Pro Deluxe 449,98€) • Seagate FireCuda 530 1 TB (PS5) 189,90€ • RTX 3070 989€ • The A500 Mini 189,90€ • Intel Core i9 3.7 459,50€ • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /