Microsoft stopft kritisches VML-Leck

Microsoft hat außerhalb seines monatlichen Patch-Day-Zyklus einen Sicherheits-Flicken für die als kritisch eingestufte Schwachstelle in der Vektorgrafik-Komponente (Vector Markup Language - VML) von Windows veröffentlicht. Die in der vergangenen Woche aufgedeckte Sicherheitslücke wurde zunächst auf Webseiten mit präparierten Inhalten beim Besuch mit dem Internet Explorer ausgenutzt. Sicherheitsexperten warnten dann, die Schwachstelle lasse sich auch per E-Mail-Angriff ausnutzten. Wie Microsoft nun in seinem Security Advisory MS06-055 bestätigt, kann die VML-Schwachstelle per Puffer-Überlauf über präparierte Webseiten oder HTML-E-Mails ausgenutzt werden. Dadurch kann ein Angreifer die komplette Kontrolle über ein betroffenes System erlangen, erklärt Microsoft.

Microsoft gibt nur äußert selten außerhalb seiner üblichen Veröffentlichungsroutine Sicherheits-Patches heraus, was als Bestätigung dafür gewertet wird, dass das Software-Unternehmen die Gefährdungslage als sehr ernst einstuft. Sicherheitsexperten hatten das VML-Leck als extrem kritisch eingestuft und - gerade nachdem die Möglichkeit der Ausnutzung per E-Mail bekannt geworden war - vor großflächigen Angriffen gewarnt. Microsoft empfiehlt den Benutzern die sofortige Installation des Updates. Nutzer, die den Windows-Updatemechanismus aktiviert haben, erhalten den Patch automatisch. Zum manuellen Download steht das Update in Microsofts TechNet-Sicherheitsportal und im Download-Center bereit.