Fünf Lecks im Internet Explorer gestopft

9. Dezember 2009, 11:18
1 Posting

Im Dezember stopft Microsoft zwölf Sicherheitslücken in Windows, Internet Explorer und Office

Wie angekündigt, hat Microsoft am Dienstag wieder mehrere Sicherheitslücken gestopft. Zum letzten Patchday des Jahres wurden insgesamt sechs Updates für zwölf Anfälligkeiten veröffentlicht, drei davon wurden als kritisch klassifiziert. Betroffen sind Windows, Internet Explorer und Office-Produkte.

Fünf IE-Lecks

Das wichtigste Update im Dezember behebt unter anderem einen Fehler im Internet Explorer, der Ende November entdeckt wurde. Im Web war ein Zero-Day-Exploit aufgetaucht, mit dem über manipulierte Websites Schadcode auf einen Rechner eingeschleust werden kann. Der Browser weist jedoch noch vier weitere Lücken auf, die dem Unternehmen vertraulich gemeldet wurden. Eine Lücke davon betrifft die Active Template Library. So kann ein mit ATL-Headern ausgestattetes ActiveX-Steuerelement auch Remotecodeausführung ermöglichen.

Anfälligkeiten in IAS und Office Project

Zwei Anfälligkeiten betreffen den Internet-Authentifizierungsdienst (IAS). So könnte schädlicher Code ausgeführt werden, wenn vom IAS-Server empfangene Nachrichten beim Verarbeiten von PEAP-Authentifizierungsversuchen falsch in den Speicher kopiert werden, wie es im Security-Bulletin heißt. Das soll jedoch nur der Fall sein, wenn PEAP mit MS-CHAP v2-Authentifizierung genutzt wird. Ein weiteres kritisches Update wurde für Office Project veröffentlicht, wobei ein Fehler behoben wird. Mit einer manipulierten Project-Datei kann ein Angreifer Schadcode auf ein System schleusen.

Drei Updates für Stufe "hoch"

Ein mit hohem Schweregrad eingestuftes Update betrifft eine Lücke im Subsystemdienst für die lokale Sicherheitsautorität (LSASS) von Windows, die eine DoS-Attacke über IPSec ermöglicht. Bei den zwei weiteren Sicherheitsflicken werden ein Fehler im Textkonverter von Wordpad und Office sowie zwei Lecks in den Active Directory Federation Services behoben. (red)

 

Share if you care.