Patchday: Microsoft flickt kuriose Lücke

Ein Security Update schließt im Internet Explorer gleich zwei kritische Lücken. Einerseits kann bei bestimmten Aufrufen zu HTML-Objekten Schadcode eingeschleust werden. Andererseits können Angreifer über bestimmte Anforderungsheader JavaScripts steuern und so etwa Online-Banking-Formulare auslesen, informiert Microsoft.

Ein weiterer kritischer Fehler findet sich im Bluetooth-Stack Security Update in Windows. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Ein weiterer Patch behebt zwei Sicherheitsanfälligkeiten in Microsoft DirectX. Ein Angreifer, dem es gelingt, eine dieser Sicherheitsanfälligkeiten auszunutzen, kann vollständige Kontrolle über das betroffene System erlangen.

Drei weitere Updates stuft Microsoft als wichtig ein. Eins betrifft das Windows Internet Name Service, ein weiteres Active Directory (AD) und das dritte zwei Denial-of-Service-Schwachstellen im PGM-Protokoll.

Im Securtiy Bulletin MS08-032 vermeldet Microsoft das Schließen einer etwas kuriosen Lücke in Vista. Diese, schon seit Januar 2007 bekannt, führt dazu, dass sich das Spracherkennungssystem von Windows Vista missbrauchen lässt. So lassem sich unautorisierte Befehle über das Internet an den Computer schicken. Das Sicherheitsrisiko wird von Microsoft jedoch als eher gering eingestuft, da standardmäßig die User Account Control (UAC) verhindert, dass Angreifer Befehle wie copy oder delete auf Systemresourcen anwenden.