Original-URL des Artikels: https://www.golem.de/0706/52845.html    Veröffentlicht: 13.06.2007 10:02    Kurz-URL: https://glm.io/52845

Microsoft muss 15 Sicherheitslücken korrigieren

Neue Struktur der Security Bulletins

Wie angekündigt, hat Microsoft anlässlich des diesmonatigen Patch-Days die Struktur der zugehörigen Security Bulletins überarbeitet. In diesem Monat schließt Redmond sechs Sicherheitslücken im Internet Explorer, drei Fehler in Windows, vier Sicherheitslecks in Outlook Express bzw. Windows Mail sowie zwei Fehler in der Office-Komponente Visio.

Mit zwei Patches schließt Microsoft zwei Sicherheitslücken in Windows-Systemen, die beide zur Ausführung beliebigen Programmcodes missbraucht werden können. Ein Sicherheitsloch befindet sich in der Win32-API, das ein Angreifer ausnutzen kann, indem er das Opfer dazu bringt, eine präparierte Webseite mit dem Internet Explorer zu öffnen. Dann erhält ein Angreifer eine umfassende Kontrolle über das fremde System. Ein Patch steht für Windows 2000, XP und Windows Server 2003 zum Download bereit.

Ein weiterer Fehler betrifft die Verarbeitung innerhalb der Windows-Komponente SChannel, die vom Server gesendete digitale Signaturen falsch überprüft. Über eine präparierte Webseite kann ein Angreifer so Schadcode einschleusen. Ein Patch für Windows 2000, XP sowie Windows Server 2003 soll den Fehler nun korrigieren. Auf Systemen mit Windows 2000 und Windows Server 2003 lässt sich allerdings kein Programmcode ausführen, hier ist nur ein Denial-of-Service-Angriff auf diesem Wege möglich. Beide Sicherheitslücken tangieren Windows Vista nicht.

Dafür muss Microsoft in Windows Vista ein anderes Sicherheitsloch stopfen, über das ein lokal angemeldeter Nutzer Zugriff auf andere Benutzerkonten erlangt und sich so mit deren Anmeldedaten höhere Rechte verschaffen kann. Ein Patch soll diesen Fehler nun korrigieren, indem derartige Zugriffe nur noch mit Administratorrechten möglich sind.

Allein sechs Sicherheitslücken befinden sich im Internet Explorer, wovon fünf Fehler zum Ausführen beliebigen Programmcodes genutzt werden können. Ein Sicherheitsloch erlaubt einen Spoofing-Angriff, indem einem Opfer der Besuch einer vertrauenswürdigen Webseite vorgegaukelt wird. Allen Sicherheitslecks ist gemein, dass bereits der Besuch einer entsprechend präparierten Webseite genügt, um Opfer eines solchen Angriffs zu werden. Microsoft stellt Patches für den Internet Explorer 5.x, 6.x sowie 7.x zum Download bereit.

Weitere vier Sicherheitslücken stecken in dem E-Mail-Client Outlook Express bzw. Windows Mail in Windows Vista. Während die Sicherheitslücken in Outlook Express nur zum Ausspähen von Daten missbraucht werden können, lässt sich Vistas Windows Mail für die Ausführung von Programmcode missbrauchen. In Windows Mail genügt bereits der Klick auf einen in einer E-Mail enthaltenen Link, um Opfer eines Angriffs zu werden. Passende Patches stehen für Outlook Express und Windows Mail zum Download bereit.

Schließlich korrigiert ein Patch zwei Sicherheitslücken in Visio 2002 sowie Visio 2003. Die beiden Sicherheitslöcher können zur Ausführung beliebigen Programmcodes missbraucht werden, indem Opfer zum Öffnen einer entsprechend manipulierten Visio-Datei gebracht werden.

Microsoft will die Übersichtlichkeit der Security Bulletins verbessern, indem die wesentlichen Informationen künftig weiter oben auf der Seite erscheinen. Eine Tabelle listet fortan alle von den Sicherheitslücken betroffenen Applikationen und liefert Direkt-Links zum Download der entsprechenden Patches.

Wie gehabt werden alle Patches außer über die Security Bulletins über die Update-Funktion von Windows bereitgestellt.  (ip)


Verwandte Artikel:
Service Pack 2 für Office 2003 ist fertig   
(28.09.2005, https://glm.io/40688 )
Office 2003 zerstört Daten in alten Office-Dokumenten   
(05.11.2003, https://glm.io/28334 )

Links zum Artikel:
Microsoft: http://www.microsoft.de
Microsoft - Security Bulletin MS07-030: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms07-030.mspx
Microsoft - Security Bulletin MS07-031: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms07-031.mspx
Microsoft - Security Bulletin MS07-032: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms07-032.mspx
Microsoft - Security Bulletin MS07-033: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms07-033.mspx
Microsoft - Security Bulletin MS07-034: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms07-034.mspx
Microsoft - Security Bulletin MS07-035: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms07-035.mspx
Microsoft (.com): http://www.microsoft.com

© 1997–2019 Golem.de, https://www.golem.de/