In jeweils zwei kritischen und zwei wichtigen Sicherheitsnotizen beschreibt Microsoft Lücken in Internet Explorer, Exchange, SQL Server und Visio aus MS-Office.

Dem Internet Explorer spendiert Microsoft ein Sammelupdate, das gleich zwei kritische Lücken des Microsoft-Browsers beheben soll. Beide betreffen Fehler in der Speicherverwaltung, die sich laut Hersteller recht leicht ausnutzen lassen, um Code einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen (MS09-002).

Auch der Mail- und Groupware-Server Exchange weist zwei Lücken auf, von denen allerdings nur die beim Bearbeiten von Daten im Transport Neutral Encapsulation Format (TNEF) als kritisch eingestuft ist. Der Fehler beim Auswerten spezieller MAPI-Befehle bewirkt lediglich, dass der Exchange Server nicht mehr erreichbar ist (MS09-003).

Die bereits im Dezember bekannt gewordene Sicherheitslücke in Microsofts SQL Server erachtet man nur als wichtig, obwohl sie ebenfalls das Einschleusen und Ausführen von Code ermöglicht. Allerdings muss sich der Angreifer dazu entweder an der Datenbank anmelden können oder Befehle über eine SQL-Injection-Lücke einschleusen. Microsoft wurde bereits im April 2008 über dieses Problem informiert (MS09-004).

Gleich drei Fehler in der Speicherverwaltung der Office-Komponente Visio bügelt das vierte Update aus. Dass es Microsoft lediglich als wichtig einstuft, ist der Tatsache geschuldet, dass der Anwender Visio-Dokumente von Hand öffnen muss (MS09-005).

Zumindest die Internet-Explorer-Lücken sind sehr gefährlich und werden vermutlich bald ausgenutzt, um Rechner beim Besuch von Webseiten zu infizieren. Das Update sollte somit höchste Priorität erhalten. Aber da auch die anderen Lücken das Einschleusen von Code ermöglichen, sollte man auch das Einspielen der anderen Updates nicht unnötig hinauszögern.

Links:
- Quelle
- Microsoft Security Bulletin Summary für Februar 2009