Patch-Day

Microsoft bessert insgesamt 20 Sicherheitslücken aus

Sicherheitslücken im Internet Explorer, in Excel und in Windows
Von Christian Horn

Zum Patch-Day im Oktober hat Microsoft elf Security Bulletins veröffentlicht, mit denen insgesamt 20 Schwachstellen in Microsoft-Produkten ausgebessert werden sollen. Bei den vier von Microsoft als "kritisch" eingestuften Bulletins steht der Internet Explorer mit einem kumulativen Update in Vordergrund, das sechs Sicherheitslecks in Microsofts Webbrowser stopfen soll. Weitere kritische Updates gibt es für Excel, den Verzeichnisdienst Active Directory und für den Host Integration Server.

Sechs Patches für Schwachstellen der Gefährdungsstufe "hoch" stellt Redmond für verschiedene Komponenten von Windows bereit. Ein weiteres Security Bulletin mit einem Update für ein Leck der Gefährdungsstufe "mittel" gibt es für Office XP SP3. Microsofts Sicherheits-Updates können wie üblich über die Update-Funktion von Windows automatisch bezogen werden. Für den manuellen Download stehen die Updates auf dem TechNet-Portal und auf den Downloadseiten des Herstellers bereit.

Sechs Sicherheitslücken im Internet Explorer

Mit dem Security Bulletin MS08-058 stellt Microsoft ein kumulatives Sicherheits-Update für den Internet Explorer der Versionen 5, 6 und 7 bereit. Für die IE-Versionen 5 und 6 besteht die Gefahr der Übernahme des Rechners durch Angreifer per ferngesteuerter Ausführung von beliebigen Code (Remote Code Execution). Beim Internet Explorer 7 können Angreifer Zugriff auf dem Rechner gespeicherte Daten erlangen.

Das Security Bulletin MS08-057 soll drei Sicherheitslecks im Tabellenkalkulationsprogramm Excel ausbessern. Die Sicherheitslücken, von denen die Office-Ausgaben 2000, XP, 2003 und 2007, Office für Mac 2004 und 2008 sowie SharePoint- und Excel-Viewer-Ausgaben betroffen sind, erlauben das Ausführen von beliebigem Code aus der Ferne. Dies gilt auch für die beiden Sicherheitslecks in Active Directory und Host Integration Server, die mit den Updates in den Security Bulletins MS08-060 und MS08-059 behoben werden sollen.

Die in den Security Bulletins MS08-061 bis MS08-066 beschriebenen Patches sollen Schwachstellen in verschiedenen Windows-Komponenten abdichten. Drei Lecks in Windows Kernel werden mit Updates bedacht, je einen Patch gibt es für Ancillary Function Driver, Windows Internet Printing Service, Server Message Block, Virtual Adress Descriptor und Message Queuing. Der Office-Patch betrifft die Office-Ausgabe XP mit SP3 und soll eine CDO- (Content Dispostion Header) Schwachstelle beseitigen, die Angreifern unerlaubten Zugriff auf Informationen gibt.