Menü
Alert!
Security

Sechs statt sieben Bulletins am Oktober-Patchday von Microsoft

Von
vorlesen Drucken Kommentare lesen 152 Beiträge

Microsoft hat am heutigen Oktober-Patchday insgesamt sechs Advisories herausgegeben. Mit der Risikobewertung "kritisch" versehene Schwachstellen haben die Redmonder im Internet Explorer, in Outlook Express, in Windows Mail und im Kodak Image Viewer von Windows behoben. Durch sie können Angreifer unter Umständen übers Netz die Kontrolle über ungepatchte Systeme übernehmen. Ein Fix für den RPC-Dienst von Windows und der beim September-Patchday verschobene Patch für SharePoint tragen die zweithöchste Risikoeinstufung "hoch", da sie sich lediglich für Denial-Of-Service-Angriffe beziehungsweise Ausweitung der Zugriffsrechte missbrauchen lassen.

Internet Explorer 5.5, 6 und 7 wurden von Microsoft in einem "kumulativen Update" gleich mit drei Patch-Paketen bedacht. Das erste Patch-Bündel behebt eine nicht näher erläuterte unvollständige Fehlerbehandlung, die Schadcodeausführung beim Besuch manipulierter Webseiten ermöglicht. Microsoft weist explizit darauf hin, dass die Schwachstelle weniger weitreichende Auswirkungen auf Anwender hat, die nicht mit Administratorrechten arbeiten. Die beiden anderen Patch-Bündel betreffen die Adresszeile des Browsers. Ohne die Patches können Angreifer erreichen, dass Anwender nach dem Klicken auf spezielle Links zwar eine möglicherweise vertrauenswürdige URL angezeigt bekommen, der dargestellte Inhalt jedoch von einem völlig anderen Server unter Kontrolle des Angreifers stammt. Dies macht beispielsweise Phishing-Angriffe erheblich leichter.

Ungepatchte Outlook Express 5.5 und 6 sowie Windows Mail von Vista lassen sich Schadcode in manipulierten USENET-Nachrichten unterschieben, die im NNTP-Protokoll übertragen werden. Die erweiterte Mailer-Variante Outlook, die Teil von Microsofts Office-Paketen ist, enthält den Fehler offenbar nicht. Wer speziell präparierte Word-Dokumente öffnet, kann sich bei Word 2000 und 2002 (jeweils mit Service Pack 3) ebenfalls Schadcode einfangen. Microsoft Office 2004 für den Mac ist ebenfalls verwundbar und sollte aktualisiert werden.

Die Schwachstelle im RPC-Dienst können Angreifer übers Netz ausnutzen, indem sie manipulierte RPC-Authenfizierungsanfragen an verwundbare Systeme schicken. Der Fehler befindet sich in allen aktuellen Windows-Versionen. Die Kodak-Image-Viewer-Lücke hingegen betrifft eigentlich nur Windows 2000 SP4. Allerdings sollen auch Windows XP und Server 2003 verwundbar sein, wenn sie als Update eines Windows-2000-Systems eingespielt wurden. Die 64-Bit-Versionen und Vista bleiben von dem Problem laut Microsoft verschont.

Die SharePoint-Lücke betrifft den SharePoint Server 2007 von Microsoft Office sowie die SharePoint Services 3.0 von Windows Server 2003. Angreifer können sich mit speziellem Scripting-Code erweiterte Zugriffsrechte verschaffen und Cache-Daten verändern, was laut Bulletin die Preisgabe vertraulicher Informationen zur Folge haben kann.

Als Grund für das Ausbleiben des angekündigten siebten Bulletins nennt das Microsoft Security Response Center Blog lapidar "ein Problem bei der Qualitätssicherung". Dort findet sich auch der Hinweis, dass das Microsoft Bulletin MS05-004, das Anfang 2005 eine kritische Schwachstelle in ASP.NET behandelte, nun in der überarbeiteten Version 4.0 erschienen ist. Die neue Version unterscheidet sich nur dadurch von der vorigen, dass sie auch Server 2003 Service Pack 2 und Vista als betroffene Plattformen erkennt.

Siehe dazu auch:

(cr)