Drei Updates für Windows, schweres Excel-Leck bleibt offen

11. März 2009, 09:59
5 Postings

Microsoft hat zum März-Patchday ein kritisches und zwei wichtige Updates für Windows veröffentlicht

Zum dritten Patchday des Jahres hat Microsoft ein als kritisch eingestuftes Update für den Windows Kernel veröffentlicht, das mehrere Lücken schließen soll. Über das gefährlichste Leck können Angreifer mit manipulierten EMF- oder WMF-Bilddatein schädlichen Code auf ein System schleusen. Betroffen davon sind alle Versionen ab Windows 2000.

Lücke für URL-Spoofing ausnutzbar

Ein wichtiges Update behebt ein Sicherheitsleck im SChannel-Sicherheitspaket (Secure Channel) in Windows. Verschafft sich ein Angreifer Zugriff auf das Zertifikat, das vom Endbenutzer zur Authentifizierung verwendet wird, kann er die Lücke mit gefälschten Internet-Adressen (Spoofing) ausnutzen. Ein Angreifer kann sich bei einem Server alleine mit dem öffentlichen Teil des Schlüssels des eigentlichen Nutzers authentifizieren, der private Schlüssel wird nicht benötigt.

Zwei Lecks im DNS- und WINS-Server

Der dritte Patch stopft zwei Sicherheitsanfälligkeiten, die ebenfalls für Spoofing ausgenutzt werden können. Über zwei Lücken im DNS- und WINS-Server kann ein Angreifer den Internetverkehr eines bestimmten Rechners über seine eigenen Systeme umzuleiten.

Kein Patch für Excel-Leck

Die Ende Februar bestätigte schwere Lücke in Excel wurde vorerst nicht behoben. Angreifern wird es dadurch ermöglicht schädlichen Code über eine manipulierte Programmdatei auf einen Rechner zu schmuggeln. Das Leck findet sich in sämtlichen Excel-Versionen für Windows und Mac. Bis Microsoft ein Update veröffentlicht, rät der Konzern inzwischen keine Excel-Dateien aus nicht vertrauenswürdigen Quellen zu öffnen. (red)

  • Bild nicht mehr verfügbar

    Im März werden mehrere Lücken in Windows mit drei Updates geschlossen, ein Excel-Leck bleibt offen.

Share if you care.