News 14.07.2004, 12:15 Uhr

Patch-Tag: Microsoft veröffentlicht sieben neue Sicherheitsupdates

Für Windows-User ist diese Woche wieder einmal kräftig «patchen» angesagt. Gleich sieben neue Updates hat uns Microsoft beschert. Zwei davon beheben laut dem Softwareriesen besonders kritische Lücken.
Microsoft hat in der Nacht auf heute seine monatlichen Sicherheitsupdates veröffentlicht. Als sehr gefährlich stuft das Softwarehaus die Schwachstellen ein, die in den Bulletins MS04-022 [1] und MS04-023 [2] beschrieben sind. Sie ermöglichen es Angreifern, von einem entfernten Standort aus beliebigen Code auszuführen.
MS04-022 behebt ein Leck im Windows-Taskplaner - einer Systemkomponente, mit der Anwender Programme oder Skripts zu einem vordefinierten Zeitpunkt starten können. Betroffen sind die Windows-Versionen NT 4.0, 2000 und XP.
MS04-023 schafft zwei Probleme in der HTML-Hilfe [3] aus der Welt. Hier ist für Nutzer von Windows 98, ME, 2000 und XP updaten angesagt. Patches für alle drei Lücken stehen über das automatische Windows-Update, die Windows-Update-Seite [4] oder Microsofts Download-Seite [5] zum Herunterladen bereit. Das gleiche gilt auch für die nachfolgenden Sicherheitsupdates.
Vier weitere Lecks werden von Microsoft mit "wichtig" bewertet: MS04-019 [6] beschreibt eine Sicherheitsanfälligkeit im Hilfsprogramm-Manager, über welche höhere Systemberechtigungen und die Kontrolle über ein fremdes System erlangt werden können. Betroffen sind nur Besitzer von Windows 2000.
MS04-020 [7] stopft eine Schwachstelle in der Betriebssystemkomponente POSIX (Subsystem) über die sich ebenfalls höhere Systemprivilegien erschleichen lassen. Sie findet sich in Windows NT 4.0 und 2000.
Das Sicherheitsbulletin MS04-021 [8] ist für Administratoren wichtig, die Windows NT 4.0 einsetzen. Das Update macht einer Lücke in der Web-Server-Software IIS 4.0 (Internet Information Services) den Garaus. Ein Angreifer kann sie ausnutzen, um komplette Kontrolle über ein fremdes System zu erlangen. Sie ist nicht zu verwechseln mit der berüchtigten "Download.Ject"-Schwachstelle in der Version 5.0 der Internet Information Services, die Ende Juni die Administratoren plagte [9].
MS04-024 [10] betrifft die Windows-Versionen NT 4.0, 2000, XP und Server 2003. Der Patch behebt eine Sicherheitsanfälligkeit in der "Windows Shell". Auf die Lücke wurde Anfang Jahr in einem Beitrag der Sicherheits-Mailinglist Bugtraq aufmerksam gemacht [11]. Ein Angreifer kann auf Grund einer mangelnden Überprüfung eine Datei so manipulieren, dass er dem Anwender ein falsches Dateiformat vorgaukelt und diesen zum Ausführen von schädlichem Code bringt.
Die letzte Sicherheitslücke bezeichnet Microsoft nur noch als "moderat". Sie ist im Bulletin MS04-018 [12] beschrieben und beinhaltet ein kumulatives Sicherheitsupdate für Outlook Express. Es behebt unter anderem eine Denial-of-Service-Anfälligkeit [13] in Zusammenhang mit einer unsorgfältigen Überprüfung von ungültigen E-Mail-Kopfzeilen.



Kommentare
Es sind keine Kommentare vorhanden.