Patchday: Schwere Lücken in Office und dem Internet Explorer

7. Juli 2006, 13:44
18 Postings

Microsoft stellt zwölf Updates zur Verfügung - Sammelpatch für den Webbrowser zum Download bereit

Es ist wieder soweit: Microsoft hat seine monatliche Freudenmeldung für die AnwenderInnen und AdministratorInnen in Form seines Microsoft Security Bulletin Summary für Juni 2006 veröffentlicht. Diesmal stehen nicht weniger als elf Updates bereits - acht davon sollen kritische Sicherheitslücken beheben.

Acht kritische Lücken

Die acht Updates schließen kritische Lücken in Windows und MS-Office; drei wichtige Software-Patches, die mit der Stufe "Hoch" bezeichnet worden, und ein Patch für ein "mittleres" Problem wurden bereit gestellt. Wie schon in der Vorabinfo angekündigt, schließt Microsoft eine bekannte und bereits aktiv ausgenutzte Lücke in seinem Textverarbeitungsprogramm Word - MS06-027. Diese Lücke ermöglichte es, dass AngreiferInnen durch speziell präparierte Word-Dokumente die Speicherverwaltung derart durcheinanderbringen können, dass eingeschleuster Code ausgeführt wird. Wie das Security Bulletin MS06-028 vermeldet, können AngreiferInnen auch bei Powerpoint-Präsentationen Code einschleusen, den das System dann mit den Rechten des angemeldeten Benutzers ausführt. Diese Lücke wurde allem Anschein nach noch nicht ausgenutzt; laut Microsoft meldeten die European Aeronautic Defence and Space Company (EADS) und Symantec das Problem.

Sammelpatch für den Internet Explorer

Nicht weniger als vier kritische Updates hat Microsoft für seinen Webbrowser Internet Explorer bereit stellen müssen. Ein Sammelpatch (MS06-021) soll hier eine Lösung bringen. Zusätzlich zu den vier kritischen, musste Microsoft auch noch vier nicht so schwerwiegend eingestufte IE-Probleme beheben.

Format-Probleme

Drei der kritischen Lücken treten beim fehlerhaften Umgang mit diversen Grafikformaten auf: so etwa im Internet Explorer beim Anzeigen von AOLs Grafik-Format ART, oder im Media Player bei der Darstellung von PNG-Dateien, sowie bei der Behandlung von WMF-Dateien durch die Windows Grafik-Rendering-Komponente.

Windows 2000

Zwei kritische Lücken betreffen AnwenderInnen von Windows 2000; diese treten im Dienst Routing and Remote Access (RRAS) auf. Der gleiche Fehler wird bei Windows XP Service Pack 2 und Windows Server 2003 als "Mittel" eingestuft, da es für eine Attacke einer gültigen Zugangskennung bedarf.

Schnelle Installation

Aufgrund der vielen kritischen Lücken, die die Softwareupdates schließen sollen, empfiehlt Microsoft eine schnellst mögliche Installation. Experten raten aber vor allem AdministratorInnen zur Vorsicht, denn alleine das Zusammenfassen von acht Updates zu einem kumulativen IE-Patch biete ein erhöhtes Risiko, dass Unverträglichkeiten auftauchen. In kritischen Umgebungen sollte daher zunächst einmal gut ausgetestet werden.(red)

  • Artikelbild
    foto: standard/regine hendrich
Share if you care.