Microsoft stopft Lecks in Office und Windows

SicherheitSicherheitsmanagement

Der Patch Day im September macht vergleichsweise wenig Arbeit: nur drei Sicherheitslücken werden gestopft, eine davon wird als kritisch eingestuft.

Das schwerwiegende Leck in Word 2000 bedenkt Microsoft bislang noch nicht mit einem Patch. So gibt es im Rahmen des monatlichen Patch-Zyklus nur drei Updates, eines für Office und zwei für Word.

Das Leck in Office lauert im Publisher und trägt die Einstufung kritisch. Durch eine nicht ausreichende Überprüfung des Inhaltes von PUB-Dateien kann mit einer fehlerhaften Zeichenfolge ein Speicherfehler hervorgerufen und beliebiger Code ausgeführt werden. Um das System zu infizieren, genügt das Öffnen einer entsprechen gestalteten Datei.

Microsoft weist darauf hin, dass nach dem Update für Publisher 2000 und 20002 keine Dateien von Publisher 2.0 mehr geöffnet werden können. Zudem kann das Öffnen einer manipulierten Datei zum Systemabsturz führen ? ausgenutzt werden kann das Leck dabei allerdings nicht mehr.

Darüber hinaus finden sich Schwachstellen im Windows-Dienst PGM (Pragmatic General Multicast), der sich mit Multicast-Nachrichten auch Code unterschieben lässt, und im Indexdienst, der anfällig für Cross-Site-Scripting ist. (dd)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen