Patch-Dienstag

Letzte Woche veröffentlichte Microsoft 2 Sicherheitsbulletins für 8 Schwachstellen in Windows und Microsoft-Office-Produkten. Beide Bulletins wurden als wichtig eingestuft, was bedeutet, dass eine gewisse Interaktion des Users erforderlich ist, um die jeweilige Schwachstelle auszunutzen und Remotecodeausführung zu ermöglichen. Die Updates dieses Monats haben etwas gemeinsam, und zwar betreffen sie beide ein Problem, das im Zusammenhang mit Social-Engineering-Methoden steht, und es gibt keine Netzwerk-basierten Angriffsvektoren. Allerdings betrifft keine von ihnen Advisory 981169 – die Sicherheitslücke im zum IE gehörenden VBScript. Sie wird relevant, wenn der Anwender eine speziell gebaute Website besucht und in einem Popup-Fenster aufgefordert wird, die F1-Taste zu betätigen. Kommt er der Aufforderung nach, kann er mit beliebiger Malware infiziert werden.

MS10-016 betrifft Windows XP SP2, SP3, Vista SP1, SP2 und Windows 7 32 sowie 64bit-Versionen. Es bezieht sich auf eine Schwachstelle im Movie Maker der Versionen 2.1 und 6.0 – sowohl in XP als auch in Windows Vista. Die Version 2.6 ist ebenfalls verwundbar und kann kostenlos aus dem Web heruntergeladen und installiert werden. Usern, die die Version 2.6 auf einer unterstützten Version von Windows, inklusive Windows 7, installiert haben, wird ein Update angeboten. Der Movie Maker 2.6 ist unter Windows 7 allerdings optional. Wer ihn also nicht installiert hat, ist auch nicht betroffen und benötigt das Bulletin nicht. Wer ihn dagegen installiert hat, wird nur dann infiziert, wenn er eine spezielle Movie Maker Projektdatei öffnet.

MS10-016 betrifft außerdem den Microsoft Producer 2003. Hierbei handelt es sich um einen kostenlosen Download, allerdings mit – wie Microsoft es nennt – „begrenzter Distribution“. Daher wird derzeit kein Update zur Lösung des Problems angeboten.

Ich finde das recht seltsam, denn wie “begrenzt” die Distribution auch immer sein mag – warum sollte man nicht darauf aus sein, das Problem aus der Welt zu schaffen? Es ist nicht nur ein Fehler in der Software, sondern es macht den User auch angreifbar. Und ist es nicht gerade das, was wir zu verhindern versuchen? Die aktuelle Notlösung lautet daher, die Projektdatei von der Anwendung zu trennen. Damit ist die Lücke zwar nicht komplett gestopft, doch laut Microsoft wird die Sicherheit dadurch erheblich verbessert.

MS10-017 bezieht sich auf Probleme in verschiedenen Versionen von Microsoft Office – für Windows wie auch für Mac. Auf der Windows-Plattform sind die Versionen Office XP, 2003 und 2007, sowie unterstützte Versionen vom Excel Viewer und SharePoint 2007 betroffen. Beim Mac sind die Versionen 2004, 2008 und der Open XML File Format Converter für den Mac betroffen. Damit diese Schwachstelle ausgenutzt werden kann, muss der Anwender eine speziell erstellte Datei öffnen.

Wie immer rate ich dringend, die Patches so schnell wie möglich herunterzuladen und zu installieren.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.