Patchday: Zehn Patches für den Internet Explorer
Wie bereits angekündigt veröffentlichte Microsoft am heutigen April-Patchday fünf Security Bulletins, die Sicherheitsanfälligkeiten in Microsoft Windows und in Microsoft Office beheben. Drei der Security Bulletins reparieren als "kritisch" eingestufte Schwachstellen und je ein Bulletin wurde für Schwachstellen der niedrigeren Gefährdungsstufen "hoch" und "mittel" herausgegeben. Microsoft empfiehlt die baldige Installation der Sicherheits-Patches.
Patches für zehn Schwachstellen im Internet Explorer
Allen voran stellt Microsoft in einem kumulativen Update Patches für insgesamt zehn Sicherheitslücken im Internet Explorer bereit. Die Gefährdungsstufe aller zehn Schwachstellen wird als kritisch eingestuft. Acht der Schwachstellen hätten von Angreifern ausgenutzt werden können, um die komplette Kontrolle über den Rechner zu erlangen und beliebigen Code von Remote-Standorten auszuführen. Unter den jetzt reparierten Schwachstellen sind unter anderem die Ende März aufgetauchte "CreateTextRange"-Schwachstelle und zwei bislang nicht bekannte Fehler bei der HTML-Verarbeitung. Zudem repariert Microsoft unerwartet die erst kürzlich entdeckte Adressleisten-Spoofing-Schwachstelle im Internet Explorer. Markante Auswirkungen beim Surfen auf Webseiten, die ActiveX-Elemente nutzen, könnte ein Patch haben, der auf Patentstreitigkeiten mit Startup Eolas zurückgeht. Microsoft hatte Webseiten-Entwickler schon Ende 2005 auf diese Änderung hingewiesen, damit sie ihre Seiten diesbezüglich modifizieren. Nach der Änderung betrachtet der IE ActiveX-Content nun per Default als inaktiv, was bedeutet, dass Flash-Animationen oder Musik und Filme in QuickTime oder im RealPlayer nun nicht mehr automatisch abgespielt werden, sondern manuell aktiviert werden müssen. Microsoft behebt alle zehn IE-Schwachstellen in seinem Security Bulletin MS06-013.
Die nächste als kritisch eingestufte Schwachstelle betrifft eine Funktion der Microsoft Data Access Components (MDAC) in Windows. Auch diese Schwachstelle hätte Angreifern die Ausführung von beliebigem Code von Remote-Standorten aus ermöglicht. Microsoft stellt im Security Bulletin MS06-014 Patches für diese Schwachstelle bereit. Im Security Bulletin MS06-015 wird eine kritische Schwachstelle im Windows Explorer repariert. Diese Schwachstelle betrifft die Verarbeitung von COM-Objekten im Explorer. Beim Besuch einer Malware-Webseite hätte ein Angreifer durch die Verbindung über einen Remote-Server den Explorer zum Absturz bringen können und so die komplette Kontrolle über das betroffene System erlangen können.
Kumulatives Sicherheits-Update für Microsoft Outlook Express
Im Microsoft Security Bulletin MS06-016 wird ein kumulatives Update für Microsofts E-Mail-Programm Outlook Express bereitgestellt. Die Schwachstelle tritt hier bei der Verarbeitung von Windows-Adressbuchdateien (.wab) im Outlook Express auf. Microsoft stuft die Schwachstelle zwar nur als hoch ein, aber auch hier kann ein Angreifer unter Ausnutzung der Schwachstelle das betroffene System komplett übernehmen. Die Outlook Express-Schwachstelle kann nur ausgenutzt werden, wenn der Nutzer selbst eine .wab-Datei öffnet. Dies kann beim Öffnen einer präparierten E-Mail oder beim Besuch einer Malware-Webseite geschehen.
Und auch die im Microsoft Security Bulletin MS06-017 gepatchte Sicherheitsanfälligkeit in Microsoft-FrontPage-2002-Servererweiterungen erlaubt die Codeausführung von Remotestandorten. Die Schwachstelle erlaubt Angreifern die siteübergreifende Skripterstellung (Cross-Site-Scripting) in FrontPage-Servererweiterungen und ermöglicht die Ausführung von Skripten im Kontext des lokal angemeldeten Benutzers. Gelingt es einem Angreifer die Sicherheitsanfälligkeit im Administrator-Kontext auszunutzen, kann er die vollständige Kontrolle über den betroffenen Server erlangen. Von dieser Schwachstelle sind auch die Microsoft SharePoint Team Services 2002 betroffen.