Microsoft: Fünf Lecks weniger

EnterpriseProjekteSicherheitSoftware-Hersteller

Der Hersteller hat am gestrigen Juli-Patchday vier Sicherheitsupdates veröffentlicht, die insgesamt fünf Schwachstellen beseitigen. Zwei Fehler bestehen in Windows, drei in Office-Produkten. Vier als kritisch eingestufte Lücken ermöglichen es einem Angreifer, beliebigen Schadcode einzuschleusen und auszuführen.

Die zwei Anfälligkeiten in Windows sind seit rund fünf beziehungsweise acht Wochen bekannt. Das Update MS10-042 schließt eine vom Google-Mitarbeiter Tavis Ormandy entdeckte Lücke im Hilfe- und Supportcenter unter Windows XP und Server 2003. Der Patch MS10-043 verhindert, dass Kriminelle mittels manipulierter Bilder weiterhin einen Fehler im Canonical Display Driver (CDD.dll) ausnutzen können. Davon betroffen sind die 64-Bit-Versionen von Windows 7 und Windows Server 2008 R2.

Zwei kritische Anfälligkeiten bestehen in Microsoft Access 2003 SP3 sowie Access 2007 SP1 und SP2. Sie werden mit dem Update MS10-044 beseitigt. MS10-045 korrigiert einen als hochriskant eingestuften Fehler in Microsoft Office Outlook 2002 SP3, 2003 SP3 und 2007 SP1 und SP2. Er tritt auf, wenn ein Nutzer eine Dateianlage in einer manipulierten E-Mail mit Outlook öffnet.

Darüber hinaus hat Microsoft gestern den Support für Windows 2000 und Windows XP SP2 eingestellt. Laut Wolfgang Kandek, Chief Technology Officer bei Qualys, ist auf etwa der Hälfte aller Windows-XP-Systeme das Service Pack 2 installiert. Microsoft selbst schätzt, dass 74 Prozent aller Rechner in Unternehmen noch unter Windows XP laufen.

“Ich bin sehr enttäuscht, dass einige vertraulich gemeldete Fehler mit dem letzten Update für Windows XP SP2 nicht behoben wurden”, sagte HD Moore, Chief Security Officer bei Rapid7 und Entwickler der Penetrationstest-Suite Metasploit. “Das lässt XP SP2 ungeschützt gegen zahlreiche kritische Schwachstellen, die später im Jahr in Windows XP SP3 gepatcht werden.” Darunter sei ein von ihm im Dezember 2006 gemeldetes Problem, das ernste Auswirkungen auf die meisten Rich-Text-fähigen Anwendungen habe.

Eine in der vergangenen Woche entdeckte Anfälligkeit in der Datei mfc42.dll, die zur Visual C++ Runtime gehört, hat Microsoft ebenfalls noch nicht behoben. Sie betrifft neben Windows XP auch Windows 2000.