Patchday: Kritische Lücken in Office, IE und dem Media Player

10. September 2008, 09:18
2 Postings

Microsoft stellt seine monatlichen Updates zum Download bereit - AngreiferInnen können schädlichen Code auf Rechnern einschleusen

Der Softwarekonzern Microsoft hat im Rahmen seines monatlichen Patchdays neue Updates für seine Betriebssysteme und Software bereit gestellt. Wie es im Microsoft Security Bulletin Summary für September 2008 heißt, wurden insgesamt vier Patch-Pakete herausgegeben.

Kritische Lücken

Die Updates schließen kritische Schwachstellen im Media Player, Media Encoder, in Microsoft Office sowie in der Windows-Systemkomponenten zur Grafikdarstellung GDI+. AngreiferInnen können laut Angaben von Microsoft die beschriebenen Schwachstellen zum Einschmuggeln von Schadcode ausnutzen. AnwenderInnen müssen dazu allerdings manipulierte Dateien oder Webseiten öffnen.

Windows ab XP

Die GDI+-Probleme betreffen alle aktuellen Windows-Versionen seit Windows XP. Die Lücke tritt in Verbindung mit der Verarbeitung von Dateien in den Formaten VML, EMF, GIF, WMF und BMP auf. Auch der Internet Explorer ist betroffen, allerdings nur der IE6 unter Windows 2000 SP4.

ActiveX

Im Windows Media Encoder 9 sorgt ein verwundbares ActiveX-Control namens WMEX.DLL für eine  Sicherheitslücke, die sich ebenfalls über den Internet Explorer ausnutzen lässt, wenn die AnwenderInnen präparierte Webseiten ansurfen. Als möglichen Workaround rät Microsoft das setzen des Killbits für das Control, welches die CLSID A8D3AD02-7508-4004-B2E9-AD33F087F43C trägt. Die Lücke im Windows Media Player betrifft nur die aktuelle Version 11.(red)

 

Share if you care.