Microsofts gestern Nacht veröffentlichte sechs "Security-Bulletins" sorgten für Schlagzeilen. Denn der als absolut notwendig bezeichnete MS05-038-Patch, den das Unternehmen für den Dauerkandidaten Internet Explorer (IE) (Version 5 und 6) veröffentlichte, weist lediglich auf bedrohliche Sicherheitsprobleme in dem Browser hin - ein Umstand, der IE-Patches bislang mit schöner Regelmäßigkeit begleitet hat.
Diesmal kann über eine Fehlfunktion des IE bei der Behandlung korrupter JPEG-Bilder bösartiger Code auf einen PC eingeschleust und dieser PC unter Kontrolle gebracht werden. Die beiden weiteren Fehler betreffen die Validierung von besuchten Internet-Seiten und den Umgang mit COM-Objekten. Beide Fehler erlauben Angreifern die Kontrolle über den angegriffenen PC.
Microsoft empfahl, den Patch sofort zu installieren.
Doch folgsame Patcher standen gestern vor dem Problem, dass der Patch als Einzel-Download nicht verfügbar war. Microsoft hatte ihn wegen eines Problems wieder zurückgezogen. Er werde nachgeliefert. Hingegen funktionierte das automatische Windows-Update.
Insgesamt veröffentlichte Microsoft sechs Patches: MS05-038 bis MS05-043.
Sie beseitigen einen Pufferüberlauf im Plug&Play-Subsystem der Windows-Versionen 2000 XP SP2 und Windows Server 2003 (MS05-039); MS05-040 beseitigt einen Pufferüberlauf im Telephony Application Programming Interface (TAPI) des Windows-2000-Servers; MS05-041 beseitigt die Möglichkeit eines Denial-of-Service-Angriffs über das RDP (Remote Desktop Protocol; MS05-042 beseitigt einen Fehler im Authentifizierungsdienst Kerberos, der eine Denial-of-Service-Attacke erlaubt; schließlich beseitigt MS05-043 einen Pufferüberlauf im Druckerwarteschlangendienst bei Windows XP Service Pack 2 und Windows Server 2003. Die Sicherheitslücken werden von Microsoft als kritisch, wichtig oder mittel klassifiziert.
Die Patches sind sowohl über den automatischen Update-Service als auch via WUS und SUS erhältlich. Mehr dazu finden Sie auf den Security-Seiten unserer Schwesterpublikation "tecchannel". (wl)