Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Im August gab es zwölf Bulletins für 23 Lücken. Diesen Monat sind es lediglich drei Bulletins für ebenso viele Lücken - eine davon ist als kritisch eingestuft. Die kritische Lücke in Word hat Microsoft allerdings nicht behoben.
Der Internet Explorer ist ausnahmsweise mal nicht betroffen. Trotzdem sollten Sie die folgenden Sicherheitshinweise für die Arbeit mit dem IE beachten:
-
Surfen Sie nur mit einem eingeschränkten Account.
-
Schalten Sie aktive Inhalte (Scripting und ActiveX) nur für absolut vertrauenswürdige Sites frei.
-
Klicken Sie nicht auf jeden Link, insbesondere nicht auf Links aus dubiosen Quellen (etwa Spam-Mails).
-
Besuchen Sie wichtige Sites wie Online-Banking oder Ähnliches nur über Bookmarks.
-
Wenn Sie nicht unbedingt auf den Internet Explorer angewiesen sind, sollten Sie einen alternativen Browser in Erwägung ziehen. (tecchannel; wl)
MS06-052: Lücke in PGM erlaubt Code-Ausführung
PGM (Pragmatic General Multicast) ist eine Multicast-Variante, die in gewissem Umfang auch Verfahren zur Sicherung der Dienstgüte bereitstellt. Die Implementation für Windows XP in der 32-Bit-Variante enthält allerdings einen Fehler, den ein Angreifer zur Ausführung beliebigen Codes mit vollen Benutzerrechten ausnutzen kann. Die 64-Bit-Variante von Windows XP nutzt denselben Code wie Windows Server 2003 x64 und ist nicht betroffen.
|
Datum |
13.09.2006 |
|---|---|
|
Warnstufe |
Wichtig |
|
Betrifft |
Windows XP SP2 32-Bit |
|
Auswirkung |
Ausführen beliebigen Codes mit vollen Rechten |
|
Workaround |
Keiner |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-053: Cross Site Scripting über Indexdienst
Bei der Validierung von Abfragen geht der Indexdienst nicht sorgfältig genug vor. Dadurch kann ein Angreifer Skripte auf dem Rechner des Opfers im Rechtekontext der betroffenen Website ausführen. Somit könnte der Angreifer an sensitive Informationen gelangen, Inhalte fälschen oder Aktionen durchführen, zu denen das Opfer auf der Website berechtigt ist.
Diese Lücke betrifft Websites, auf denen der Indexdienst über den Internet Information Server verfügbar ist.
|
Datum |
13.09.2006 |
|---|---|
|
Warnstufe |
Mittel |
|
Betrifft |
Windows 2000 SP4, XP SP2, Server 2003 SP1 |
|
Auswirkung |
Preisgabe von Informationen |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |
MS06-054: Lücke in Publisher erlaubt Code-Ausführung
Beim Parsen von speziell gestalteten Dateien kann Microsofts Layout-Tool Publisher Speicher so überschreiben, dass beliebiger Code mit den Rechten des gerade angemeldeten Benutzers ausgeführt wird. Um die Lücke auszunutzen, muss der Angreifer das Opfer dazu bringen, eine präparierte Publisher-Datei zu öffnen.
Das Update behebt den Fehler, verhindert aber gleichzeitig, dass sich Dokumente öffnen lassen, die im alten 2.0-Format gespeichert sind. Vor Einspielen des Updates sollten also möglichst alte Dateien konvertiert werden.
|
Datum |
09.08.2006 |
|---|---|
|
Warnstufe |
Kritisch |
|
Betrifft |
Publisher 2000, 2002 und 2003 |
|
Auswirkung |
Code-Ausführung |
|
Workaround |
siehe Security-Bulletin |
|
Updates |
siehe Security-Bulletin |
|
CVE |