Unsicheres Update

BetriebssystemSicherheitSicherheitsmanagementWorkspace

»Patch-Day«: Die neuesten Microsoft-Updates versprechen mehr als sie leisten.

22 Sicherheitslücken

An jedem zweiten Dienstag im Monat veröffentlicht Microsoft Sicherheits-Updates für seine Software. Der »Patch-Day« im Oktober sollte 22 Lücken schließen, davon allein acht im Internet Explorer. Doch die neuesten Microsoft-Updates versprechen mehr als sie leisten. Nicht alle Fehler wurden konsequent behoben zumindest ein hartnäckiges Browser-Problem können die Patches nicht lösen.

Problem mit Drag and Drop bleibt

Über die Drag-and-drop-Lücke ist es möglich, die Sicherheitszonen des Internet Explorer zu überlisten: Ein als Grafik getarntes Objekt kann, falls es per Drag and Drop verschoben wird, beispielsweise eine EXE-Datei in den Autostart-Ordner kopieren. Das Problem: Es erscheint keine Nachfrage, ob eine Datei heruntergeladen werden soll. Das Objekt wechselt trotz Service-Pack 2 unbemerkt von der Internet-Zone in die vertrauenswürdige lokale Zone.

Im Security-Bulletin MS04-038 (
www.microsoft.com/technet/security/bulle tin/MS04-038.mspx
) beschreibt Microsoft das Problem und liefert einen Patch. Dieses Sicherheits-Update arbeitet jedoch nicht einwandfrei: Wenige Tage nach Veröffentlichung zeigte eine Demo-Webseite, dass sich auf gleichem Weg auch ein aktualisierter Internet Explorer täuschen lässt. Auch ein zweites schweres Problem wurde nur scheinbar behoben. Die JPEG-Lücke (siehe PC Professionell 11/04) sollte bereits im September per Update geschlossen werden. Microsoft musste jetzt Fixes nachlegen, die die Schwachstelle unter Windows XP SP 2 in Zusammenspiel mit Office XP kitten (Know-ledge-Base-Artikel 832332), Visio 2002 (831932) und Project 2002 (831931).


Updates für Excel, Shell und Dienste

Zudem gibt es auch Aktualisierungen für weitere kritische Fehler: Excel (MS04-033), Windows-Shell (MS04-037), XP-Dienste (MS04-035, MS04-036, MS04-031, MS04-030, MS04-029), Windows Kernkomponenten (MS04-032) und der in Windows XP eingebauten Zip-Funktion (MS04-034).

Windows-Installer im SP 2 fehlerhaft

SP-2-Nutzer sollten vor der Installation von zusätzlichen Patches unbedingt einen Fehler beheben, der die automatische Update-Funktion selbst betrifft. Sonst kann es bei der Installation von Updates dazu kommen, dass der Windows-Installer einfriert (Knowledge-Base-Artikel 8885894). Die Folge: Die von Microsoft bereitgestellten Bugfixes lassen sich nicht mehr installieren.