Patch-Day

Sechs kritische Sicherheits-Updates von Microsoft

Sicherheits-Patches für Excel, Powerpoint und Word
Von Christian Horn

Wie bereits angekündigt hat Microsoft am heutigen Oktober-Patch-Day zum großen Rundumschlag ausgeholt und sechs kritische Sicherheits-Updates veröffentlicht. Zudem stellt das Software-Unternehmen ein als "wichtig", zwei als "mäßig" und ein mit dem Gefährdungsgrad "niedrig" ausgezeichnete Sicherheits-Updates bereit. Bei aktivierter Windows-Update-Funktion werden die Updates automatisch zugestellt. Zum manuellen Download stehen die Updates im TechNet-Sicherheitsportal oder im Download Center des Unternehmens bereit.

Patch-Feuerwerk für Powerpoint, Excel und Word

Microsoft schließt mit dem Security Bulletin MS06-058 ein Sicherheitsleck im Powerpoint, das bereits von Angreifern ausgenutzt worden war. Damit jedoch nicht genug bügelt MS06-058 gleich weitere drei Sicherheitslücken in Powerpoint aus - über alle drei Schwachstellen wäre eine Remote-Ausführung von beliebigem Code möglich gewesen. Im Security Bulletin MS06-057 wird eine Sicherheitslücke in der ActiveX-Komponete WebViewFolderIcon behoben. Auch diese Schwachstelle erlaubte die Ausfühung von beliebigem Code und war bereits über manipulierte Webseiten ausgenutzt worden.

Für das Tabellenkalkulationsprogramm Excel stellt Microsoft im Security Bulletin MS06-059 vier Sicherheitpatches bereit - auch hier hätten alle Schwachstellen beliebige Code-Ausführung erlaubt. Weiter im Patch-Feuerwerk schließt Microsoft vier kritische Sicherheitslücken in Word: Auch die Word-Schwachstellen waren für die Remote-Ausführung von beliebigem Code anfällig. Die Sicherheitslecks in Word werden mit dem Security Bulletin MS06-060 behoben.

Patches für kritische Schwachstellen in Office und XML-Core-Services

Die zwei weiteren kritischen Sicherheits-Updates betreffen Schwachstellen in den XML-Core-Services - hier werden zwei Patches bereit gestellt - und in Office. Das Office-Update MS06-062 schließt vier Lecks, über die Angreifer Kontrolle über das System hätten gewinnen können. Ein Sicherheits-Update der Gefährdungsstufe "wichtig" korrigiert zwei Schwachstellen im Server Service, deren Ausnutzung die beliebige Code-Ausfühung beziehungsweise Denial-of-Service-Angriffe ermöglicht hätte.

Als "mäßig" gefährlich eingestufte Sicherheits-Updates veröffentlichte Microsoft für das .Net-Framework und für den Windows Object Packer. Die Schwachstelle in .Net hätte von Angreifern für Cross-Site-Scripting missbraucht werden können. Das Sicherheits-Update mit der Gefährdungs-Einstufung "niedrig" bessert drei Schwachstellen im TCP/IP-Protokoll aus, die Denial-of-Service-Angriffe erlaubt hätten.