Nach dem Oktober-Patchday ist Microsoft Windows wieder bedeutend sicherer. Insgesamt sechs (statt sieben) Updates erschienen nun für das Betriebssystem und stopfen die gefährlichen Sicherheitslücken in Internet Explorer ( MS07-057 ), Windows Mail, Outlook Express ( MS07-056 ) und dem Kodak Image Viewer von Windows ( MS07-055 ). Die Fehlerbehebungen in den genannten Applikationen wurden von Microsoft als "kritisch" eingestuft. Immerhin ist es Angreifern - durch die fehlenden Sicherheitsvorkehrungen - möglich die volle Kontrolle des System via Internet zu übernehmen. Wegen der Gefahr vor - weniger gefährlichen - Denial-Of-Service-Attacken wurden zwei weitere Patches mit der Risikobewertung "hoch" belegt. Dabei handelt es sich um einen Fix für den RPC-Dienst ( MS07-058 ) und einen Patch für SharePoint ( MS07-059 ), der bereits mitsamt den anderen Updates im Vormonat hätte erscheinen sollen.

Browser und Email

Zu beachten gilt es, dass sich ein Patch gleichzeitig um mehrere Probleme, in diesem Fall drei, kümmert. Ein kumulatives Update für den Internet Explorer betrifft etwa die Versionen 5.5, 6 und 7 gleichzeitig. Ohne näher darauf einzugehen schließe der Mehrfach-Patch eine Lücke in dem Browser, welche zuvor genutzt werden konnte um Schadcode über manipulierte Websites einzuführen. Der Gefahr seien allerdings vorrangig Benutzer ausgesetzt, die mit den Rechten eines Administrators arbeiten. Zwei weitere Bestandteile kümmern sich um ein Problem in der Adresszeile, wodurch Angreifer die Möglichkeit geboten wird angeblich vertrauenswürdige URLs einzuschleusen um unwissende Benutzer anschließend auf den eigenen Server zu locken. Genutzt wird diese Methode unter anderem für sogenannten Phishing-Angriffe,

Weiter geht aus der Beschreibung hervor, dass künftig kein Schadcode mehr durch manipulierte Usenet-Nachrichten in Outlook Express 5.5/6 und Windows Mail eingeführt werden können, welche im NNTP-Protokoll gesendet werden. Die erweiterte Variante Outlook beinhalte das besagte Problem allerdings nicht, wie Microsoft betonte. Dafür gäbe es aber ähnliche Komplikationen mit den Versionen 2000 und 2002 von Word SP3 (MS07-060).

Weniger kritisch

Bei dem Sicherheitsleck des RPC-Dienstes lauert die Gefahr in manipulierten RPC-Authentifizierungsanfragen. Laut den Entwicklern aus Redmond befände sich dieser Fehler in jeder Windows-Version. Die Lücke im Kodak Image Viewer betreffe hingegen ausschließlich Nutzer von Windows 2000 samt Service Pack 4. Wurde jedoch Windows XP oder Server 2003 als Update für das genannte Betriebssystem eingespielt, so empfehle man ebenfalls eine Aktualisierung.

Eine ungewollte Verbreitung privater oder vertraulicher Informationen könne es, durch den SharePoint Server 2007 von Microsoft Office und SharePoint Services 3.0 von Windows 2003, künftig nicht mehr geben. Die Nutzung von Scripting-Code, zur Beschaffung erweiterter Zugriffsrechte, ist nun nicht mehr möglich.

Das Fehlen des siebten Updates begründet Microsoft im Security Response Center Blog simpel damit, dass es "ein Problem bei der Qualitätssicherung" gegeben habe. (red)