Microsoft stopft Lecks in Windows und Office
Ein Update hat der Software-Konzern gestrichen, so gibt es statt der angekündigten sieben nur sechs Security Bulletins.
Vier Schwachstellen werden von Microsoft als kritisch eingestuft, sie befinden sich in Word, dem Internet Explorer, Windows Mail sowie Outlook Express und dem Kodak Bildbetrachter. Bei den betroffenen Word-Versionen handelt es sich um Word 2000 und 2002, die beide bei fehlerhaften Zeichenfolgen patzen und einen Speicherfehler verursachen. So kann beim Öffnen einer manipulierten Word-Datei Code ausgeführt und das System kompromittiert werden. Windows Mail und Outlook Express verarbeiten fehlerhafte NNTP-Antworten nicht richtig und lassen sich so ebenfalls Code unterschieben. Und der Kodak-Bildbetrachter von Windows analysiert nicht alle Bilddateien korrekt, wodurch sich Speicherfehler hervorrufen lassen.
Für den Internet Explorer stellt Microsoft ein Sammelupdate bereit, mit dem man gleich drei Schwachstellen beseitigt. Zwei davon erlauben ein URL-Spoofing, was zum Beispiel Phishing-Betrüger ausnutzen könnten, um dem User eine gefälschte Website mit einer vorgeblich vertrauenswürdigen Internet-Adresse unterzuschieben. Das dritte Problem betrifft die Fehlerbehandlung bei Downloads.
Die beiden anderen Security Bulletins tragen die Sicherheitseinstufung hoch. Ein Fehler bei der RPC-Authentifizierung kann ausgenutzt werden, um Windows-Systeme via DoS-Angriff lahm zu legen. Die Windows Sharepoint Services 3.0 und der Office Sharepoint Server 2007 pürfen URL-codierte Anfragen nicht ausreichend, wodurch ein Angreifer beliebige Skripte ausführen kann. (dd)