Patchday: Zwei neue Lücken und ein halber Nachschlag

In seinem monatlichen Security Bulletin hat Microsoft insgesamt drei Lücken adressiert, die allesamt als kritisch eingestuft worden sind und die Programme Windows, Outlook sowie Exchange betreffen.

Eine Schwachstelle betrifft so genannte Embedded Webfonts. Angreifer, die die Lücke erfolgreich ausgenutzt haben, können die Kontrolle über das System übernehmen. Besonders gefährdet sind Benutzer-Accounts mit vielen Rechten, also bevorzugt Administratoren, heißt es bei Microsoft. Systeme ab Windows 98 sind hier betroffen.

Das zweite Problem hangelt sich an einem Format namens Transport Neutral Encapsulation Format (TNEF) entlang. TNEF wird im Zusammenhang mit dem Versenden von Mails in Rich Text Format verwendet und ist in Outlook und Exchange weit verbreitet. Das macht die Lücke aufgrund ihrer potenziellen Streuung so gefährlich. Auch hier kann ein Angreifer die Schwachstelle ausnutzen, um das System in seine Kontrolle zu bringen. Betroffen sind Outlook 2000, 2002 und 2003 sowie Office 2000 MultiLanguage Packs (MUI), Office XP Multilingual User Interface Packs (MUI), Office 2003 Multilingual User Interface Packs (MUI) und Office 2003 Language Interface Packs (LIP)Exchange Server 5.0, Exchange Server 5.5 als auch Exchange 2000 Server.

Der aktuelle Patchday beinhaltet außerdem das am 5. Januar außerplanmäßig als Notfall-Patch ausgelieferte Update für die WMF-Schwachstelle. Nicht enthalten allerdings ist ein Patch, der die gestern aufgetretenen zwei neuen Lücken abdichtet.