Microsoft stopft Lecks in Windows, Excel und Internet Explorer

BetriebssystemBrowserOffice-AnwendungenSicherheitSicherheitsmanagementSoftwareWorkspace

Auf Admins kommt einiges an Arbeit zu, denn den monatlichen Patchday bestreitet Microsoft im April mit acht Updates. Allein fünf davon sollen kritische Lecks abdichten.

Der Patchday bringt das fast schon übliche kumulative Sicherheitsupdate für den Internet Explorer. In ihm sind gleich sechs Schwachstellen zu finden, die das Einschleusen von Code ermöglichen und mehrheitlich auf Speicherfehler zurückzuführen sind. In einigen Fällen reicht bereits das Ansurfen einer Website, um das System zu kompromittieren. Betroffen sind der Internet Explorer 5, 6 und 7 unter allen Windows-Version, nicht jedoch der neue IE8.

Auch in Excel sowie den Wordpad- und Office-Textkonvertern schließt Microsoft einige Sicherheitslecks. Für das seit Anfang April bekannte Leck in Powerpoint gibt es dagegen noch kein Update. Das Excel-Leck betrifft die Office-Versionen 2000, 2002, 2003 und 2007, das Problem mit den Textkonvertern Word 2000 und Word 2002 sowie Windows 2000, XP und Windows Server 2003. Vista ist nicht betroffen.

Auch mehrere Lecks in den HTTP-Diensten von Windows stuft Microsoft als kritisch ein. Diese prüfen einige Zertifikate nicht korrekt und schlampen bei der Verarbeitung von NTLM-Anmeldeinformationen. Zudem gibt es Fehler in DirectX 8.1 und 9.0, wo DirectShow MJPEG-Streams nicht korrekt dekomprimiert und sich Code unterschieben lässt.

Nicht die Sicherheitseinstufung kritisch, sondern nur hoch tragen vier Lecks in Windows, die Microsoft mit einem weiteren Update abdichtet. Über sie kann ein Angreifer keinen Code einschleusen, sondern sich nur einige zusätzliche Rechte sichern. Gleiches gilt für einen Fehler in der SearchPath-Funktion von Windows.

Der ISA-Server und das Forefront Threat Management Gateway sind anfällig für DoS-Angriffe, was Microsoft einem weiteren Update behebt. (Daniel Dubsky)