Am
Juni-Patchday räumt Microsoft mit 15 teils kritischen Fehlern in seinen Produkten auf. Wie
angekündigt veröffentlichen die Redmonder dazu insgesamt sechs Security-Bulletins und stuft vier davon als kritisch ein.
Das umfangreichste Patch-Paket ist MS07-033, das insgesamt
sechs Lücken im Internet Explorer schließt. Unter anderem setzt sich die nicht enden wollende Saga der COM-Objekte, die sich zwar via ActiveX aufrufen lassen, aber nicht dafür vorgesehen sind und dabei dann den Speicher in kritischer Weise durcheinanderbringen können. Von dieser Plage ist der Internet Explorer 7 und damit Vista zwar nicht mehr betroffen, aber auch für den neuen Microsoft-Browser auf dem neuesten Microsoft-Betriebssystem droht Gefahr durch kritische Lücken: Beim Zugriff auf bestimmte nichtinitialisierte Objekte und durch einen Fehler in der Sprachsteuerung kann es zur sogenannten Remotecodeausführung – also dem Einschleusen und Ausführen von Code durch eine Web-Seite kommen.
Ein kumulatives Update für Outlook Express und Windows Mail behebt insgesamt
vier Schwachstellen (
MS07-034). Interessant dabei ist, dass nur Windows Vista in kritischer Weise betroffen ist, weil Windows Mail durch Anklicken von Links mit UNC-Pfadangaben (\\Servername\Freigabename\Pfad) in präparierten E-Mails zur Ausführung von Schadcode führen kann. Die anderen drei Lecks ermöglichen es Webseiten, die durch einen Klick in einer Mail geöffnet werden, eventuell vertrauliche Daten auszuspähen – Microsoft spricht von domänenübergreifender Offenlegung von Informationen.
Von den beiden weiteren kritischen Lücken bleiben Vista-Nutzer hingegen verschont: In der Secure-Channel-Komponente (SChannel) von Windows, die SSL- und TLS-Authentifizierung unter anderem für den Internet Explorer bereitstellt, kann
laut MS07-031 durch einen Fehler schon beim Besuch von SSL- oder TLS-gesicherten, manipulierten Webseiten eingeschleuster Programmcode zur Ausführung kommen.
Bei der Beschreibung der Nächsten bleiben die Redmonder sehr im Vagen:
Gemäß MS07-035 prüfen irgendwelche Funktionen der Windows-Programmierschnittstelle Win32-API irgendwelche Parameter nicht ausreichend, so dass es irgendwie zu einer Remotecodeausführung kommen könnte. Angesichts der ausgefeilten Werkzeuge mit denen Patches mittlerweile analysiert werden, steht zu bezweifeln, ob diese restriktive Informationspolitik tatsächlich verhindert, dass diese Lücke zeitnah ausgenutzt wird.
Des weiteren schließt Microsoft zwei als hoch bewertete
Schwachstellen in Microsoft Office 2003, durch die präparierte Visio-Dokumente (.vss, .vsd oder .vst) beliebigen Programmcode einschmuggeln können (
MS07-030). Und schließlich ermöglicht es ein
Sicherheitsleck in Windows Vista lokalen Anwendern mit eingeschränkten Konten, auf Daten anderer Nutzer zuzugreifen und so beispielsweise die Administratorkennwörter aus der Registry oder vom Dateisystem auszulesen (
MS07-032), was in Redmond immerhin noch als mittel eingestuft wird.
Wie jeden Monat liefert Microsoft auch ein aktualisiertes
Malicious Software Removal Tool (
MSRT) aus, das den Rechner von bekannten und verbreiteten Schädlingen befreien soll. Da die Updates zahlreiche gravierende Sicherheitslücken schließen, sollten Windows-Nutzer sie sobald wie möglich einspielen. In der Vergangenheit tauchten regelmäßig kurze Zeit nach dem Erscheinen der Patches beispielsweise Webseiten auf, die Sicherheitslücken ausnutzen, um unbemerkt Spyware und Trojanern auf die Rechner argloser Opfer zu installieren.
Links:
-
Quelle
-
Microsoft Security Bulletin Summary für Juni 2007