Microsoft schließt 31 Sicherheitslecks

BetriebssystemBrowserOffice-AnwendungenSicherheitSicherheitsmanagementSoftwareWorkspace

Der Patch Day im Juni hat es in sich: mit zehn Updates stopft Microsoft insgesamt 31 Sicherheitslücken. Als besonders löchrig erweisen sich dieses Mal Internet Explorer und Excel.

Wie fast jeden Monat veröffentlicht Microsoft zum Patch Day ein Sammeludate für den Internet Explorer, mit dem diesmal acht Lecks abgedichtet werden. Bei den meisten handelt es sich um Speicherfehler, die beim Aufruf einer Webseite ausgelöst werden können und es einem Angreifer erlauben, Code auszuführen. Betroffen sind alle Versionen des Browsers.

Auch Excel und Word bekommen ein Update spendiert, wobei das Update für Excel gleich sieben Lecks schließt, das für Word nur zwei. Beide lassen sich beim Öffnen manipulierter Dokumente Code unterschieben und führen diesen aus. Betroffen sind die Versionen 2000, 2002, 2003 und 2007, wobei Microsoft die Updates nur bei Word und Excel 2000 als kritisch einstuft, bei den übrigen Versionen ist die Sicherheitseinstufung hoch. Ein weiteres Update gibt es für den Dateikonverter von Office, der dafür sorgt, dass Works-Dateien geöffnet werden können.

Darüber hinaus stopft Microsoft kritische Lecks in der Druckwarteschlange von Windows und in Active Directory. Letzteres lässt sich durch spezielle LDAP-Pakete aus dem Tritt bringen, was sich für DoS-Angriffe und das Ausführen von Code nutzen lässt. Betroffen sind aber nur die Server-Versionen von Windows, ausgenommen der Windows-Server 2008. Die Probleme mit der Druckwarteschlange gibt es dagegen bei allen Windows-Versionen, egal ob Client oder Server, doch wirklich kritisch ist das Leck Microsoft zufolge nur unter Windows 2000.

Einige Fehler im Windows-Kernel sind ebenfalls in allen Versionen des Betriebssystems zu finden. Microsoft stuft das Update aber nicht als kritisch ein, da sich kein Code ausführen lässt, sondern ein Angreifer sich nur ein paar zusätzliche Rechte sichern kann. Gleiches gilt für einen Fehler in der RPC-Implementierung von Windows.

Die Windows-Suche von Windows XP führt zudem Skripte aus, wodurch vertrauliche Informationen abgegriffen werden können. Microsoft stuft das Leck als mittelschwer ein. Die beiden letzten Lücken betreffen die Internet Information Services 5 und 6 unter Windows 2000, XP und Windows Server 2003 – dort wird bei der WebDAV-Authentifizierung geschlampt. (Daniel Dubsky)