Patch Day: Microsoft stopft Leck in DirectShow

SicherheitSicherheitsmanagementSoftware

Den monatlichen Patch Day bestreitet Microsoft dieses Mal mit sechs Updates – eines dichtet auch das schwerwiegende Leck in DirectShow ab, das bereits seit einiger Zeit ausgenutzt wird.

Drei der sechs Updates werden von Microsoft als kritisch eingestuft. Das sind neben dem Update, mit dem das Leck in DirectShow geschlossen wird, ein Update für das EOT-Schriftartmodul (Embedded OpenType) und weiteres, mit dem man das Killbit für das Video-ActiveX-Control setzt, damit es nicht vom Internet Explorer geladen werden kann.

Das DirectShow-Leck war indes nicht das einzige in DirectX, denn wie dem Security Bulletin zu entnehmen ist, wurden auch zwei weitere, bislang unbekannte Schwachstellen behoben, die ebenfalls beim Pürfen beziehungsweise Öffnen von Quicktime-Dateien auftraten.

Darüber hinaus stopft Microsoft Lecks in Virtual PC und Virtual Server sowie im ISA Server 2006. Diese konnte ein Angreifer nutzen, um sich zusätzliche Rechte zu sichern. Ein Leck im Publisher von Office erlaubte zwar die Remote-Ausführung von Code, dennoch stuft Microsoft auch dieses Leck nur als important ein und nicht als critical – womöglich weil nur Office 2007 mit SP1 betroffen ist, nicht jedoch mit SP2 und auch nicht die älteren Office-Versionen. (Daniel Dubsky)