Original-URL des Artikels: https://www.golem.de/0906/67679.html    Veröffentlicht: 10.06.2009 11:52    Kurz-URL: https://glm.io/67679

Patchday: 31 Sicherheitslücken in Microsoft-Software

Kein Patch für Sicherheitsloch in DirectShow veröffentlicht

Mit zehn Patches beseitigt Microsoft insgesamt 31 Sicherheitslücken in Windows, im Internet Explorer und dem Office-Paket des Herstellers. Ein Großteil der Fehler wird als gefährlich eingestuft. Für das bekannte Sicherheitsloch in DirectShow gibt es wie angekündigt noch keinen Patch.

Mit summa summarum fünf Patches beseitigt Microsoft insgesamt 13 Sicherheitslecks im Windows-Betriebssystem. Drei unterschiedliche Sicherheitslücken betreffen die Druckerwarteschlange von Windows. Zwei Fehler erlauben das Ausführen von Schadcode und werden als entsprechend gefährlich klassifiziert, während der dritte Fehler einem Unbefugten den Zugriff auf vertrauliche Daten erlaubt. Die Fehler befinden sich in Windows 2000, XP, Vista, Windows Server 2003 sowie 2008 und sollen mit dem Patch beseitigt werden.

Zwei weitere Sicherheitslücken befinden sich in den Active-Directory-Komponenten von Windows. Ein Fehler kann für die Ausführung von Programmcode und ein anderer für einen Denial-of-Service-Angriff missbraucht werden. Ein Patch für Windows 2000, XP und Windows Server 2003 korrigiert diese Fehler.

Vier Sicherheitslücken im Windows-Kernel

Gleich vier Sicherheitslücken hat Microsoft im Kernel von Windows 2000, XP, Vista, Windows Server 2003 und 2008 mit einem Patch beseitigt. Angreifer können sich über alle vier Fehler die Zugriffsrechte erhöhen, um so einen umfassenderen Zugriff auf ein fremdes System zu erlangen. Ein Angreifer muss sich am System anmelden können, um die Sicherheitslücken ausnutzen zu können. Auch das Sicherheitsleck im RPC-Protokoll erlaubt eine Rechteausweitung. Aber Angreifer benötigen hier keine gültigen Anmeldeinformationen. Mit einem Patch soll der Fehler in Windows 2000, XP, Vista, Windows Server 2003 sowie 2008 korrigiert werden.

Bei der Skriptausführung innerhalb der Windows-Suche kommt es zu einem Fehler, der es Unbefugten erlaubt, an vertrauliche Daten zu gelangen. Allerdings lässt sich der Fehler nur ausnutzen, wenn eine spezielle Datei an erster Stelle in einem Suchergebnis auftaucht. Mit einem Patch für Windows XP sowie Windows Server 2003 wird der Fehler korrigiert.

Zwei Fehler befinden sich in den Internet Information Services (IIS) von Windows und erlauben Angreifern eine Rechteausweitung, wenn sie eine präparierte HTTP-Anforderung für eine Webseite ausnutzen. Mit dem bereitgestellten Patch soll der Fehler in Windows 2000, XP und Windows Server 2003 korrigiert werden.

Von den acht Sicherheitslücken im Internet Explorer können sechs Fehler zum Ausführen von Schadcode missbraucht werden und werden daher als gefährlich eingestuft. Ein Angreifer muss ein Opfer nur dazu verleiten, eine manipulierte Webseite mit dem Internet Explorer zu öffnen. Zwei weitere Sicherheitslecks können zum Ausspähen von Daten benutzt werden. Ein Patch für den Internet Explorer 5.x, 6.x, 7.x sowie 8.x soll die Fehler beseitigen.

Zehn Sicherheitslücken in Office-Produkten

Sieben als gefährlich eingestufte Sicherheitslücken befinden sich in Excel 2000, 2002, 2003, 2007 sowie in Excel 2004 und 2008 für Mac. Außerdem sind der XML-Dateikonverter für Mac, das Office Compatibility Pack sowie der Excel Viewer von den Fehlern betroffen. Das Öffnen eines manipulierten Excel-Dokuments würde genügen, um Angreifern die Möglichkeit zu geben, beliebigen Programmcode auszuführen. Mit dem bereitgestellten Patch sollen die Fehler beseitigt werden.

In Word 2000, 2002, 2003, 2007 sowie in Word 2004 und 2008 für Mac wurden zwei ebenfalls als gefährlich eingestufte Sicherheitslücken gefunden. Die Fehler betreffen auch hier zusätzlich den XML-Dateikonverter für Mac, das Office Compatibility Pack sowie den Word Viewer. Mit einem Patch soll verhindert werden, dass Angreifer über eine manipulierte Word-Datei Schadcode ausführen können.

Ein weiteres Sicherheitsleck betrifft ebenfalls Word 2000, 2002, 2003 sowie 2007 und befindet sich auch in den Works-Versionen 8.5 und 9. Der Fehler steckt im Works-Konverter und tritt auf, wenn eine manipulierte Works-Datei mit den genannten Applikationen geöffnet wird. Angreifer können dann schadhaften Programmcode ausführen und mit den Rechten des angemeldeten Nutzers ausführen. Ein Patch soll den Fehler nun beseitigen.

Alle Patches für die aufgeführten Microsoft-Produkte stehen über das jeweilige Security Bulletin sowie über Windows Update als Download zur Verfügung.

Kein Patch für Sicherheitsloch in DirectShow

Für das Ende Mai 2009 bekannt gewordene Sicherheitsloch in DirectShow hat Microsoft keinen Patch veröffentlicht. Damit bleibt das Sicherheitsloch weiter offen, das zum Ausführen von Schadcode missbraucht werden kann und bereits aktiv ausgenutzt wird. Wann ein Patch zur Beseitigung des Fehlers veröffentlicht wird, ist nicht bekannt. Microsoft arbeitet nach eigener Aussage mit Hochdruck daran.  (ip)


Verwandte Artikel:
Microsoft warnt: kritische Sicherheitslücke in DirectShow   
(29.05.2009, https://glm.io/67441 )
Windows: USB-Stick-Würmer haben es künftig schwerer (Update)   
(28.04.2009, https://glm.io/66765 )
Patchday: Microsoft schließt insgesamt 22 Sicherheitslücken   
(15.04.2009, https://glm.io/66478 )
Sicherheitsloch in Excel gestattet Code-Ausführung   
(25.02.2009, https://glm.io/65497 )
Microsofts Groß-Patchday schließt fast 30 Sicherheitslücken   
(10.12.2008, https://glm.io/64044 )

Links zum Artikel:
Microsoft: http://www.microsoft.de
Microsoft - Security Bulletin MS09-018: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms09-018.mspx
Microsoft - Security Bulletin MS09-019: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms09-019.mspx
Microsoft - Security Bulletin MS09-020: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms09-020.mspx
Microsoft - Security Bulletin MS09-021: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms09-021.mspx
Microsoft - Security Bulletin MS09-022: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms09-022.mspx
Microsoft - Security Bulletin MS09-023: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms09-023.mspx
Microsoft - Security Bulletin MS09-024: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms09-024.mspx
Microsoft - Security Bulletin MS09-025: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms09-025.mspx
Microsoft - Security Bulletin MS09-026: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms09-026.mspx
Microsoft - Security Bulletin MS09-027: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms09-027.mspx

© 1997–2020 Golem.de, https://www.golem.de/