Hacker brauchen keine Hilfe mehr vom User, warnt Microsoft

EnterpriseOffice-AnwendungenProjekteSicherheitSoftwareSoftware-Hersteller

Microsoft hat beim monatlichen Patch-Happening alle Hände voll zu tun. Sechs Lücken wurden als ‘kritisch’ eingestuft.

Die Lücken taten sich dieses Mal in den Programmen Windows, Internet Explorer, Office und Visual Studio sowie in Sicherheits-Tools, darunter Windows Live OneCare, Windows Defender, Antigen und Forefront auf. Außerdem erhielten die ‘Microsoft Data Access Components’ (MDAC) ein Update. Und auch die Sicherheitsanfälligkeit im ActiveX-Steuerelement der HTML-Hilfe, die Remotecode-Ausführung ermöglichen kann, wurde bereinigt.

Keiner der Problembereiche hat nach Angaben des Herstellers Auswirkungen auf Vista oder Office 2007, Microsofts jüngste Neuerscheinungen. Der Windows Defender geht allerdings als Teil von Vista vom Band, so dass das neue Betriebssystem mittelbar doch in Gefahr geraten könnte.

Und die ist nicht gerade gering. Denn die kritischen Lücken erlauben Angreifern, die Kontrolle über den Rechner zu erlangen, ohne dass der Benutzer einen Anhang öffnen oder einem maliziösem Link folgen müsste. Die restlichen werden erst gefährlich, wenn der Anwender ‘mithilft’. Beispielsweise eine, die beim Öffnen einer manipulierten PDF-Datei die Sicherheits-Tools umgeht. Als ‘hoch’ stufte der Hersteller ferner ein Problem in Windows Shell ein, das Zugriffsmanipulationen erlaubte. Auch hier liegt jetzt ein Patch vor.

Microsoft hat ferner den Patchday zum Anlass genommen, eine Reihe von ‘Zero Day’-Angriffen zu bereinigen. Sieben der 20 Schwachstellen waren solche veröffentlichten, aber noch nicht geschlossenen Löcher, fünf davon in Office-Anwendungen.