Microsoft hat vergangenen Dienstag die monatlichen Flicken für seine Software-Produkte veröffentlicht. Sechs Patches sind von dem Konzern als kritisch eingestuft und betreffen Office, Windows und den Internet Explorer. Fünf Patches der Kategorie "hoch" beheben Sicherheitsanfälligkeiten in Windows, Outlook Express, Mail, Messenger und ebenfalls in Office.
Bekannte ActiveX-Lücke geschlossen
In Office wird die bereits seit längerem bekannte Lücke im ActiveX-Steuerelement für den Snapshot Viewer für die Datenbankanwendung Access geschlossen. Über das Leck ist es Angreifern möglich, die Kontrolle über einen Rechner mittels einer manipulierten Website zu erlangen. Der Angreifer kann mit denselben Rechten wie der angemeldete Benutzer auf den Computer zugreifen. Sind einem User nur geringe Rechte zugewiesen, kann auch der Angreife z.B. keine Installationen durchführen. Bei Anwendern mit Administratorenrechten erhält diese auch der Hacker, der dann schädliche Software installieren, Daten verändern oder löschen kann.
Gleiche Rechte wie Benutzer
Drei weitere kritische Patches betreffen Excel, PowerPoint und den Office Filter, über die ebenfalls schadhafter Code per Fernzugriff ausgeführt werden können. Im Betriebssystem wird eine Sicherheitsanfälligkeit im Microsoft-Farbverwaltungssystem (ICM) gepatcht für den Internet Explorer wurde ein kumulatives Sicherheitsupdate veröffentlicht, das sechs Lücken behebt. Die Updates beheben dabei jeweils mehrere Lücken in den Anwendungen, über die Hacker ebenfalls dieselben Benutzerrechte wie der angemeldete User erhalten.
Datenverkehr unverschlüsselt
Ein der Priorität hoch eingestufter Patch behebt eine Sicherheitsanfälligkeit bei der Verarbeitung der IPSec-Richtlinie. Dabei kann es dazu kommen, dass verschlüsselter Datenverkehr unverschlüsselt übertragen wird. Ein Angreifer könnte die Inhalte des Datenverkehrs ändern. Der Hacker erlangt dabei nicht die Kontrolle über das System, kann aber wichtige Informationen auslesen. Die gleiche Gefahr besteht bei einer Lücke in Outlook Express und Windows Mail sowie im Windows Messenger. Weitere Codeausführung erlauben Lücken im Windows Ereignissystem und in Word.
Kein Patch für Mediaplayer
Darüber hinaus hat Microsoft eine neue Version des Windows-Tools zum Entfernen schädlicher Software freigegeben. Ein vergangene Woche angekündigter, kritischer Patch für den Mediaplayer ist am aktuellen Patchday noch nicht veröffentlicht worden. (br)