Patch-Tag: drei gefährliche Lücken in Windows

Diesen Monat erwarten Windows-Nutzer wieder zahlreiche Patches. Insgesamt zehn Sicherheits-Updates hat Microsoft diese Woche veröffentlicht, allein sieben davon betreffen Schwachstellen in Windows. Eine der gefährlichsten steckt wieder einmal im Internet Explorer [1]. Grund ist eine fehlerhafte Verarbeitung von Webbildern im PNG-Format. Manipuliert ein Angreifer ein solches Bild entsprechend, kann er auf fremden Rechnern beliebigen Code ausführen. Dazu reicht es, wenn das Opfer eine Website oder eine E-Mail mit einem solchen Bild betrachtet. Das ist aber noch nicht alles. Auch die Anzeige von XML-Inhalten [2] bereitet dem Internet Explorer Probleme. Mit Hilfe präparierter E-Mail-Nachrichten oder Webseiten lassen sich Informationen ausspionieren. Beide Lecks werden mit dem Patch MS05-025 gestopft.

Im Sicherheitsbulletin MS05-026 [3] beschreibt Microsoft eine kritische Anfälligkeit in Windows. Sie steckt in der HTML-Hilfe [4]. Sie ermöglicht ebenfalls, mittels manipulierter Webseiten die vollständige Kontrolle über einen fremden PC zu erlangen. Betroffen sind alle Windows-Versionen.

Die dritte kritische Schwachstelle verbirgt sich im SMB (Server Message Block) von Windows [5]. SMB ist ein Internetstandardprotokoll, das Windows zum gemeinsamen Verwenden von Dateien, Druckern und seriellen Anschlüssen sowie zur Kommunikation zwischen Computern verwendet. Laut Microsoft können Angreifer direkt über ein Netzwerk spezielle Nachrichten schicken, um bösartigen Code auszuführen. Diese Anfälligkeit betrifft Windows 2000, XP und Server 2003.

Die Wichtigkeit von vier weiteren Sicherheits-Updates stuft Microsoft als "Hoch" ein. Sie beschreiben Anfälligkeiten im WebClient-Dienst von Windows, in der optionalen Windows-Komponente "Interaktives Training - Schritt für Schritt", in der Mail-Software Outlook Express und in Microsoft Exchange Server 5.5 mit Service Pack 4. Werden sie von einem Angreifer richtig ausgenutzt, kann er beliebigen Code von einem entfernten Standort ausführen. Alle vier Schwachstellen werden auf Microsofts Sicherheits-Website ausführlich erläutert [6]. Dasselbe gilt für die letzten drei Updates, deren Wichtigkeit das Softwarehaus als "Mittel" klassifiziert. Sie betreffen Lücken in Windows, Windows Services für UNIX und ISA Server (Internet Security and Acceleration) über die sich sichere Webseiten vorgaukeln, Informationen ausspionieren und Benutzerrechte erhöhen lassen.

Betroffene Anwender sollten ihre Systeme möglichst schnell aktualisieren. Dies können sie über das automatische Windows Update, die Windows-Update-Seite [7] sowie Microsofts Download-Bereich [8] tun. Wer bereits das neue Microsoft Update [9] verwendet, muss Patches für Zusatzsoftware wie Exchange nicht mehr separat herunterladen. Der Dienst listet nicht mehr nur Windows-Updates, sondern auch Patches für Word, Excel, Exchange Server und weitere Microsoft-Programme auf. Details zum neuen Microsoft Update finden Sie in unserer Webnews "Bessere Patch-Verwaltung mit dem neuen Microsoft Update" vom 8. Juni [10].