Die 15 Lücken werden durch sechs neue Security-Bulletins geschlossen. Vier Bulletins haben den Schweregrad ‘kritisch’ erhalten. Dies ist die höchste Stufe in Microsofts Bewertungssystem für Sicherheitsbedrohungen. Die entsprechenden Patches sollten unbedingt so schnell wie möglich installiert werden. Sicherheitsexperten sind sich allerdings uneins darüber, welchen Updates Systemadministratoren die höchste Priorität einräumen sollten.

Das umfangreichste Patch-Paket schließt insgesamt sechs Lücken im Internet Explorer. Betroffen sind alle IE-Versionen auf allen Windows-Plattformen, inklusive Windows Vista. Das Update schließt mehrere Lücken, über die ein Angreifer die volle Kontrolle über das System des Opfers erlangen kann. Dazu ist kein besonderes Zutun des Anwenders erforderlich. Beispielsweise genügt es, eine speziell präparierte E-Mail im Microsoft-Browser anzuzeigen, um schädlichen Code eines externen Angreifers auszuführen. Im Internet Explorer 7 kann es beim Zugriff auf bestimmte nichtinitialisierte Objekte und durch einen Fehler in der Sprachsteuerung zur Remotecodeausführung kommen.

Unter anderem sorgen auch COM-Objekte, die sich zwar via ActiveX aufrufen lassen, aber nicht dafür vorgesehen sind, im Internet Explorer für Probleme, da sie den Speicher durcheinanderbringen. Der Internet Explorer 7 und damit Vista sind davon aber nicht mehr betroffen.

Die weiteren Bulletins befassen sich mit diversen Schwachstellen in Windows, Outlook Express, Windows Mail und Visio. Auch hier werden Löcher gestopft, die eine Remote-Code-Ausführung ermöglichen. Nur Windows Vista ist in kritischer Weise davon betroffen, weil in Windows Mail das Anklicken von Links mit UNC-Pfadangaben in präparierten E-Mails zur Ausführung von Schadcode führen kann. Drei andere Sicherheitslücken ermöglichen es Webseiten, die über einen Klick in einer Mail geöffnet werden, Daten auszuspähen. In der Secure-Channel-Komponente von Windows, die SSL- und TLS-Authentifizierung unter anderem für den Internet Explorer bereitstellt, kann durch einen Fehler beim Besuch von SSL- oder TLS-gesicherten, manipulierten Webseiten eingeschleuster Programmcode zur Ausführung kommen.

Microsoft schließt außerdem zwei kritische Schwachstellen in Office 2003, durch die präparierte Visio-Dokumente beliebigen Programmcode einschmuggeln können. Ferner ermöglicht ein Sicherheitsleck in Windows Vista lokalen Anwendern mit eingeschränkten Konten, auf Daten anderer Nutzer zuzugreifen und so beispielsweise die Administratorkennwörter aus der Registry oder vom Dateisystem auszulesen.

Neben den Bulletins stellt Microsoft in gewohnter Manier eine aktualisierte Version seines “Windows-Tool zum Entfernen bösartiger Software” bereit. Die Software erkennt und löscht eine Auswahl gängiger Malware, die sich im System eingenistet hat. Die Patches können direkt über die jeweiligen Bulletins oder Microsoft Update beziehungsweise Windows Update bezogen werden.

Silicon-Redaktion

Recent Posts

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

15 Stunden ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

15 Stunden ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

16 Stunden ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

2 Tagen ago

SoftwareOne: Cloud-Technologie wird sich von Grund auf verändern

Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.

2 Tagen ago

KI-basierte Herz-Kreislauf-Vorsorge entlastet Herzspezialisten​

Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.

2 Tagen ago