Patchday: Viele Sicherheitslücken in Windows und im Internet Explorer
Microsoft hat zwei Patches für den Internet Explorer veröffentlicht. Während einer der Patches ein als gefährlich eingestuftes Sicherheitsleck im Internet Explorer 7 und 8(öffnet im neuen Fenster) beseitigt, muss der zweite Patch für den Microsoft-Browser gleich elf Sicherheitslecks schließen.
Neun dieser elf Sicherheitslücken werden als gefährlich klassifiziert, weil Angreifer darüber beliebigen Programmcode einschleusen können. Die übrigen Sicherheitslöcher im Internet Explorer können zum Ausspähen vertraulicher Informationen missbraucht werden. Mit einem Patch für alle unterstützten Versionen des Internet Explorer(öffnet im neuen Fenster) sollen die elf Fehler korrigiert werden. Nach der Patcheinspielung trägt der aktuelle Internet Explorer die Versionsnummer 9.0.1.
Neun Updates für Windows
Mit insgesamt neun Patches korrigiert Microsoft zehn Sicherheitslecks in Windows. Im SMB-Client aller Windows-Versionen(öffnet im neuen Fenster) muss Microsoft ein kritisches Sicherheitsloch beseitigen, das von Angreifern zur Ausführung von Schadcode verwendet werden kann. Ebenfalls eine kritische Sicherheitslücke betrifft die OLE-Automatisierung aller Windows-Ausführungen(öffnet im neuen Fenster) .
Auch in den Windows-Kernelmodus-Treibern muss ein Sicherheitsleck beseitigt(öffnet im neuen Fenster) werden, über das Angreifer Schadcode ausführen können. Das gilt für Windows Vista, 7, Server 2008 und 2008 R2 für 64-Bit-Systeme. Auf den 64-Bit-Systemen von Windows XP und Server 2003 ist darüber nur eine Ausweitung der Rechte möglich. Die 32-Bit-Ausführungen von Windows enthalten den Fehler nicht.
Auch zwei Windows-Sicherheitslecks im Distributed File System(öffnet im neuen Fenster) können auf einigen Plattformen zur Codeausführung missbraucht werden. Das betrifft Windows XP sowie Windows Server 2003, während mit den übrigen Windows-Versionen eine Denial-of-Service-Attacke darüber möglich ist.
In allen Windows-Ausführungen wurde ein Sicherheitsleck(öffnet im neuen Fenster) zur Rechteausweitung entdeckt, das mit einem Patch korrigiert werden soll. Ebenfalls zur Erhöhung von Nutzerrechten eignet sich ein Fehler in der Webregistrierung von Active-Directory-Zertifikatsdiensten(öffnet im neuen Fenster) von Windows Server 2003, 2008 und 2008 R2.
Vier Wochen alter Sicherheitspatch für Office für Mac nachgereicht
Eine weitere Windows-Sicherheitslücke(öffnet im neuen Fenster) kann von Angreifern zur Einsicht in vertrauliche Daten missbraucht werden. Der Fehler in der MHMLT-Komponente betrifft alle unterstützten Windows-Versionen. Ein weiterer Fehler im SMB-Server(öffnet im neuen Fenster) kann für Denial-of-Service-Attacken verwendet werden und betrifft Windows Vista, 7, Server 2008 sowie 2008 R2. Der letzte der zehn Windows-Fehler(öffnet im neuen Fenster) steckt in Hyper-V von Windows Server 2008 sowie 2008 R2; andere Windows-Versionen kennen das Problem nicht.
Parallel zu den neuen Patches von Microsoft hat der Softwarekonzern nun das Sicherheitsupdate für Office für Mac nachgereicht . Besitzer der Mac-Version von Office mussten sich einen Monat gedulden, bis ihre Software aktualisiert wurde, während die Windows-Version bereits im Mai 2011 einen Patch erhielt.
Acht neue Sicherheitslücken in Office-Software
Parallel dazu wurde ein neuer Sicherheitspatch(öffnet im neuen Fenster) für Office XP, 2003, 2007, 2010, Office für Mac, 2004, 2008, 2011 sowie für den Open-XML-Dateiformatkonverter für Mac, den Excel Viewer und das Office Compatibility Pack veröffentlicht. Der Patch korrigiert acht Sicherheitslücken, die alle zur Ausführung von Schadcode missbraucht werden können. Opfer müssen lediglich dazu verleitet werden, eine Excel-Datei zu öffnen, die entsprechend präpariert wurde.
Für das .Net Framework(öffnet im neuen Fenster) hat Microsoft gleich zwei Patches veröffentlicht, einer davon korrigiert auch gleich einen Fehler in Silverlight 4(öffnet im neuen Fenster) . Beide Patches kümmern sich um Sicherheitslücken, die zur Ausführung beliebigen Programmcodes missbraucht werden können. Lediglich die Versionen 1.1 mit Service Pack 1 sowie 3.0 mit und ohne Service Pack 1 sind von den Fehlern nicht betroffen.
Ebenfalls eine als gefährlich klassifizierte Sicherheitslücke muss Microsoft in der Firewall-Komponente der Sicherheitssoftware Forefront Threat Management Gateway 2010 Client schließen. Angreifer können darüber beliebigen Programmcode einschleusen und ausführen. Mit einem Patch(öffnet im neuen Fenster) soll der Fehler beseitigt werden.
Mit einem weiteren Patch wird eine Sicherheitslücke im XML-Editor in mehreren Microsoft-Anwendungen beseitigt. Der Fehler kann zum Ausspähen vertraulicher Daten missbraucht werden. Den Patch(öffnet im neuen Fenster) gibt es für den SQL-Server 2005 und 2008, für Infopath 2007 und 2010 sowie für Visual Studio 2005, 2008 und 2010.
Alle Patches können über die zugehörigen Security Bulletins geladen werden und sind auch über Microsoft Update verfügbar.