Sechs kritische Sicherheits-Updates von Microsoft
Wie bereits angekündigt hat Microsoft am heutigen Oktober-Patch-Day zum großen Rundumschlag ausgeholt und sechs kritische Sicherheits-Updates veröffentlicht. Zudem stellt das Software-Unternehmen ein als "wichtig", zwei als "mäßig" und ein mit dem Gefährdungsgrad "niedrig" ausgezeichnete Sicherheits-Updates bereit. Bei aktivierter Windows-Update-Funktion werden die Updates automatisch zugestellt. Zum manuellen Download stehen die Updates im TechNet-Sicherheitsportal oder im Download Center des Unternehmens bereit.
Patch-Feuerwerk für Powerpoint, Excel und Word
Microsoft schließt mit dem Security Bulletin MS06-058 ein Sicherheitsleck im Powerpoint, das bereits von Angreifern ausgenutzt worden war. Damit jedoch nicht genug bügelt MS06-058 gleich weitere drei Sicherheitslücken in Powerpoint aus - über alle drei Schwachstellen wäre eine Remote-Ausführung von beliebigem Code möglich gewesen. Im Security Bulletin MS06-057 wird eine Sicherheitslücke in der ActiveX-Komponete WebViewFolderIcon behoben. Auch diese Schwachstelle erlaubte die Ausfühung von beliebigem Code und war bereits über manipulierte Webseiten ausgenutzt worden.
Für das Tabellenkalkulationsprogramm Excel stellt Microsoft im Security Bulletin MS06-059 vier Sicherheitpatches bereit - auch hier hätten alle Schwachstellen beliebige Code-Ausführung erlaubt. Weiter im Patch-Feuerwerk schließt Microsoft vier kritische Sicherheitslücken in Word: Auch die Word-Schwachstellen waren für die Remote-Ausführung von beliebigem Code anfällig. Die Sicherheitslecks in Word werden mit dem Security Bulletin MS06-060 behoben.
Patches für kritische Schwachstellen in Office und XML-Core-Services
Die zwei weiteren kritischen Sicherheits-Updates betreffen Schwachstellen in den XML-Core-Services - hier werden zwei Patches bereit gestellt - und in Office. Das Office-Update MS06-062 schließt vier Lecks, über die Angreifer Kontrolle über das System hätten gewinnen können. Ein Sicherheits-Update der Gefährdungsstufe "wichtig" korrigiert zwei Schwachstellen im Server Service, deren Ausnutzung die beliebige Code-Ausfühung beziehungsweise Denial-of-Service-Angriffe ermöglicht hätte.
Als "mäßig" gefährlich eingestufte Sicherheits-Updates veröffentlichte Microsoft für das .Net-Framework und für den Windows Object Packer. Die Schwachstelle in .Net hätte von Angreifern für Cross-Site-Scripting missbraucht werden können. Das Sicherheits-Update mit der Gefährdungs-Einstufung "niedrig" bessert drei Schwachstellen im TCP/IP-Protokoll aus, die Denial-of-Service-Angriffe erlaubt hätten.