Microsoft mit vier neuen Sicherheits-Updates

Kritische Probleme in Browser und Betriebssystem

Vier neue Sicherheits-Updates hat Microsoft gestern abend auf ihrem Server vorgestellt. Zwei davon sind für Endanwender besonders kritisch, so dass diese ihren Rechner umgehend aktualisieren sollten. Andernfalls kann man sich Würmer, Trojaner oder Dialer auf seinem Rechner einfangen.

Das Bulletin MS03-048 [Link entfernt] beschreibt ein Update des Internet Explorer in allen Versionen ab 5.01 unter allen Versionen von Windows. Ältere Versionen des IE sind vermutlich ebenfalls von den in dem Bulletin aufgelisteten Sicherheitsproblemen betroffen. Für diese bietet Microsoft jedoch keine Updates mehr an. Stattdessen sollten Nutzer dieser alten Browser eine neuere Version des Internet Explorers installieren.

Die mit dem Update gelösten Sicherheitsprobleme sind kritisch. Ohne das Update kann es passieren, dass beim Besuch einer speziell präparierten Website unbemerkt Programme auf dem Computer des Besuchers installiert und ausgeführt werden. Insbesondere Dialer oder Spyware können auf diesem Weg eingeschleust werden. Beispiel-Code, der die Sicherheitslöcher ausnutzt, ist bereits im Internet verfügbar. Eine Firewall schützt nicht vor dem Angriff, jedoch muss der Nutzer entweder eine entsprechend "vergiftete" Webseite freiwillig ansurfen, oder er muss eine HTML-E-Mail in einem auf dem IE basierenden E-Mail-Programm wie Outlook bzw. Outlook Express erhalten und anzeigen lassen.

Das zweite Dokument, MS03-049 [Link entfernt] beschreibt ein Sicherheitsloch in dem "Workstation" Service unter Windows 2000 und XP (außer Windows XP 2003 in der sehr selten benutzten 64-Bit-Version). Es handelt sich hier um einen Fehler, der grundsätzlich für einen Angriff von außen geeignet ist. Jeder Rechner mit den genannten Betriebssystemen, der nicht von einer Firewall geschützt ist, ist verwundbar. XP-Systeme, bei dem die vor vier Wochen vorgestellten Updates bereits installiert sind, sind ebenfalls sicher. Es schadet aber nicht, wenn alle Nutzer von 2000 bzw. XP die Update einspielen.

Das dritte Update MS03-050 [Link entfernt] betrifft bestimmte Versionen der Office-Programme Word und Excel. Hier ist ein Update nicht ganz so dringend erforderlich, denn die meisten Nutzer öffnen nur selten Word- oder Excel-Dokumente aus unbekannter Quelle. Der Bug ist aber auch nicht ungefährlich. Insbesondere könnte er eine neue Runde von Macro-Viren nach sich ziehen, wenn er nicht behoben wird.

Schließlich bezieht sich MS03-051 [Link entfernt] auf einen Fehler in den "Frontpage Server Extensions" auf Windows 2000 (außer Windows 2000 Service Pack 4) und XP. Betroffen sind Betreiber von Webservern, die die entsprechende Funktionalität in ihrem Webserver aktiviert haben. Verwender von Frontpage haben auf ihrem Client-Rechner nichts zu befürchten, jedoch auf dem Webserver, auf den sie Inhalte von Frontpage aus hochladen. Da Web-Server im Internet besonders gut sichtbar sind, ist es für Server-Administratoren entsprechend wichtig, dieses Update schnell einzuspielen.

Es sind im Beitrag die englischsprachigen Bulletins verlinkt, da die deutschsprachigen noch nicht bereit stehen. Diese werden demnächst vermutlich unter http://www.microsoft.de [Link entfernt] veröffentlicht werden.

Es ist gerade vier Wochen her, dass Microsoft gar sieben Updates an einem Tag vorstellte. Die Strategie, jeweils einen ganzen Satz von Sicherheits-Updates an einem Tag vorzustellen, soll wohl die Bereitschaft der Benutzer erhöhen, diese zügig zu installieren. Andererseits enthält Microsoft damit dem Benutzer wichtige Updates unter Umständen mehrere Wochen lang vor - ein langer Zeitraum, währenddessen die Systeme verwundbar sind. Insbesondere dann, wenn sogenannte Exploits bereits im Umlauf sind, ist diese Vorgehensweise doch sehr fraglich.