Microsoft schließt 15 Sicherheitslücken

Die 15 Lücken werden durch sechs neue Security-Bulletins geschlossen. Vier Bulletins haben den Schweregrad ‘kritisch’ erhalten. Dies ist die höchste Stufe in Microsofts Bewertungssystem für Sicherheitsbedrohungen. Die entsprechenden Patches sollten unbedingt so schnell wie möglich installiert werden. Sicherheitsexperten sind sich allerdings uneins darüber, welchen Updates Systemadministratoren die höchste Priorität einräumen sollten.

Das umfangreichste Patch-Paket schließt insgesamt sechs Lücken im Internet Explorer. Betroffen sind alle IE-Versionen auf allen Windows-Plattformen, inklusive Windows Vista. Das Update schließt mehrere Lücken, über die ein Angreifer die volle Kontrolle über das System des Opfers erlangen kann. Dazu ist kein besonderes Zutun des Anwenders erforderlich. Beispielsweise genügt es, eine speziell präparierte E-Mail im Microsoft-Browser anzuzeigen, um schädlichen Code eines externen Angreifers auszuführen. Im Internet Explorer 7 kann es beim Zugriff auf bestimmte nichtinitialisierte Objekte und durch einen Fehler in der Sprachsteuerung zur Remotecodeausführung kommen.

Unter anderem sorgen auch COM-Objekte, die sich zwar via ActiveX aufrufen lassen, aber nicht dafür vorgesehen sind, im Internet Explorer für Probleme, da sie den Speicher durcheinanderbringen. Der Internet Explorer 7 und damit Vista sind davon aber nicht mehr betroffen.

Die weiteren Bulletins befassen sich mit diversen Schwachstellen in Windows, Outlook Express, Windows Mail und Visio. Auch hier werden Löcher gestopft, die eine Remote-Code-Ausführung ermöglichen. Nur Windows Vista ist in kritischer Weise davon betroffen, weil in Windows Mail das Anklicken von Links mit UNC-Pfadangaben in präparierten E-Mails zur Ausführung von Schadcode führen kann. Drei andere Sicherheitslücken ermöglichen es Webseiten, die über einen Klick in einer Mail geöffnet werden, Daten auszuspähen. In der Secure-Channel-Komponente von Windows, die SSL- und TLS-Authentifizierung unter anderem für den Internet Explorer bereitstellt, kann durch einen Fehler beim Besuch von SSL- oder TLS-gesicherten, manipulierten Webseiten eingeschleuster Programmcode zur Ausführung kommen.

Microsoft schließt außerdem zwei kritische Schwachstellen in Office 2003, durch die präparierte Visio-Dokumente beliebigen Programmcode einschmuggeln können. Ferner ermöglicht ein Sicherheitsleck in Windows Vista lokalen Anwendern mit eingeschränkten Konten, auf Daten anderer Nutzer zuzugreifen und so beispielsweise die Administratorkennwörter aus der Registry oder vom Dateisystem auszulesen.

Neben den Bulletins stellt Microsoft in gewohnter Manier eine aktualisierte Version seines “Windows-Tool zum Entfernen bösartiger Software” bereit. Die Software erkennt und löscht eine Auswahl gängiger Malware, die sich im System eingenistet hat. Die Patches können direkt über die jeweiligen Bulletins oder Microsoft Update beziehungsweise Windows Update bezogen werden.