Hatte
Microsoft am Freitag vergangener Woche noch elf Updates für den
Oktober-Patchday angekündigt, veröffentlichte das Unternehmen am heutigen Dienstag jedoch nur zehn Softwareaktualisierungen. Die Auslieferung macht allerdings Probleme: Im Blog von Microsofts Sicherheitsteam schreibt Craig Gehre, dass aufgrund von Netzwerkproblemen die Updates noch nicht via Microsoft Update, Automatic Updates, Windows Server Update Services (
WSUS) und Windows Update v6 verteilt werden – die Techniker würden sich jedoch eifrig um eine Lösung bemühen. Wer die Patches jetzt schon einspielen möchte, muss sie sich über die Links in den Security Bulletins herunterladen.
Von den zehn Updates schließen sechs kritische Lücken in Windows und in Office. Ein Patch behebt eine als "hoch"-wichtig eingestufte Lücke im Serverdienst und zwei Updates bügeln jeweils eine mittelkritische Sicherheitslücke in ASP.Net sowie im Windows Object Packager aus. Ein weiterer Softwareflicken beseitigt ein von Microsoft mit niedriger Relevanz bewertetes Denial-of-Service-Leck im TCP/IP-Stack.
Der Patch zur
Sicherheitsmeldung MS06-057 soll die bereits aktiv ausgenutzte WebView-Schwachstelle im Internet Explorer schließen – vor dem Einspielen des Patches sollte ein möglicherweise installierter inoffizieller Patch deinstalliert werden. Die Lücke im Multimedia Control
daxctle.ocx für DirectAnimation bleibt indes weiter offen. Das
Security Bulletin MS06-058 behandelt vier Schwachstellen in PowerPoint, durch die Angreifer mit manipulierten Dokumenten die Kontrolle über ein System übernehmen könnten.
Auch in Excel behebt ein
Update vier Fehler, aufgrund derer eingeschmuggelter Code ausgeführt werden könnte. Die schon seit über einem Monat in Word klaffende und aktiv ausgenutzte Sicherheitslücke schließt ein Patch zum
Security Bulletin MS06-060 – und außerdem drei weitere, bislang unbekannte Sicherheitslücken. Die Vier scheint an diesem Patchday eine besondere Zahl zu sein: soviele Lücken schließt ein weiteres Update aus der
Sicherheitsmeldung MS06-062 allgemein in Microsoft Office.
Ebenfalls kritisch sind die
Lücken im XML-Core-Service. Beim Verarbeiten von Extensible Stylesheet Language Transformations (
XSLT) kann ein Pufferüberlauf auftreten und so beliebiger, eingeschleuster Programmcode ausgeführt werden. Außerdem kann das XMLHTTP-Active-X-Modul vertrauliche Daten preisgeben.
Nur als "hoch"-wichtig stuft Microsoft zwei Lücken in den
Server-Services ein. Mittels manipulierter Pakete an den Dienst können Angreifer einen betroffenen Rechner lahmlegen. Weiterhin könnten präparierte SMB-Pakete unter Umständen sogar dazu führen, dass darin enthaltener Schadcode ausgeführt wird.
Für das .Net-Framework 2.0 stellen die Redmonder ein als "mittel"-wichtig eingestuftes
Update bereit, dass ein Cross-Site-Scripting-Leck abdichtet. Ebenfalls mittel ist die Einschätzung für den Patch des
Object Packager. Angreifer könnten durch die damit geschlossene Sicherheitslücke Dialogfelder fälschen. Der letzte der Oktober-Patches behebt Fehler in der IPv6-Implementierung des
TCP/IP-Stacks, in dem präparierte IPv6-Pakete zu einem Denial-of-Service führen können.
Da die Updates derzeit nur über Windows Update v4 und SUS verteilt werden, müssen Privatanwender, die ihren Rechner zeitnah absichern möchten, die Updates für ihr System aus den Security Bulletins heraussuchen, von Hand herunterladen und selber installieren. Da in der Vergangenheit kurz nach der Veröffentlichung von Details die Lücken aktiv ausgenutzt wurden, ist dieses Vorgehen dringend anzuraten.
Update:
Inzwischen sind die Probleme mit den Update-Servern behoben, sodass die Patches wie gewohnt eingespielt werden können.
Links:
-
Quelle
-
Security Bulletin Summary für Oktober 2006