Microsoft beendet das Jahr mit einer fulminanten Patch-Serie. Sieben Updates für insgesamt elf bekannte Lücken hat Microsoft veröffentlicht. Die besonders kritischen Schwachstellen betreffen den Internet Explorer und den Windows Media Player. Die Lücke im Media Player war erst vor einigen Tagen bekannt worden. Angreifer können durch sie vom Nutzer unbemerkt bösartige Programme auf den PC schleusen. Dazu reicht allein der Aufruf von bestimmten Internetseiten, die mit manipulierten Playlist-Dateien präpariert sind. Windows-Nutzer sollten die Updates schnellstmöglich installieren, auch, wenn sie den Media Player nicht verwenden.
Das wichtigste Sicherheitsupdate schließt gleich vier Lücken im Internet Explorer 6. Bei zwei der im Bulletin MS06-072 beschriebenen Fehler könnte der Besuch einer manipulierten Webseite bereits ausreichen, um den Rechner mit einem Schädling zu infizieren. Die restlichen Fehler im Browser gestatten einem Angreifer den Zugriff auf den Ordner "Temporary Internet Files". Dabei könnten unter Umständen vertrauliche Informationen ausgespäht werden. Der neue Internet Explorer 7 ist nach Angaben von Microsoft von den Schwachstellen nicht betroffen.
Löchrige Adressbuchverwaltung
Das kumulative Sicherheitsupdate für Outlook Express vereint alle bislang veröffentlichten Sicherheitsflicken für das Standard-Mailprogramm von Windows. Die neue Version behebt zusätzlich einen Fehler beim Einlesen von Adressbuchdateien, über den Angreifer Schädlinge in einen Rechner einschleusen könnten.
Schädlinge im Media Player
Weitere kritische Sicherheitslücken haben die Redmonder im Windows Media Player geschlossen. Schädlingen konnten sich über manipulierte Playlisten-Dateien im ASX- oder ASF-Format Zutritt zum Rechner verschaffen, was mit dem neuen Patch verhindert wird. Microsoft liefert ihn über zwei Updates aus: "Windows Media Format 7.1 bis 9.5" und "Windows Media Player 6.4". Beide Patches sollten unbedingt aufgespielt werden. Der Grund: Obwohl Windows XP SP2 standardmäßig Windows Media Player 9 (WMP) nutzt, ist Version 6.4 ein fester Bestandteil von Windows. Der Player residiert als "mplayer2.exe" im WMP-Verzeichnis und tritt in Aktion, sobald Sie ein veraltetes Format aufrufen.
WMP 11 ohne Lücken
Nach Installation der beiden Updates müssen Sie die Verknüpfung zu den Dateiendungen im Windows Explorer wiederherstellen, falls Sie dies aus Sicherheitsgründen deaktiviert haben. Der neue "Windows Media Player 11" ist von den Lücken nicht betroffen und kann alternativ zum "Windows Media Format"-Patch heruntergeladen werden.
Lücken im Netzwerkbetrieb
Weitere Sicherheitsanfälligkeiten betreffen unmittelbar die Windows-Architektur. Sowohl Windows 2000, XP und Server 2003 sind für Angriffe über das Netzwerkmanagementprotokoll SNMP verwundbar, sofern das Update nicht installiert wird. Ferner gilt es eine Lücke zu schließen, über die sich ein angemeldeter Anwender seine Zugriffsrechte ausweiten kann. Das letzte System-Update für dieses Jahr betrifft nur Windows 2000: Über eine Schwachstelle im Remote Installation Service (RIS) können Angreifer unbemerkt Software verteilen und installieren.
Heikles Leck in Visual Studio 2005
Das Sicherheitsbulletin MS06-073 behebt nach Microsoft-Angaben eine heikle Lücke unter der Entwicklungsumgebung Visual Studio 2005. Tatsächlich kann unter Microsoft Visual Studio 2005 das fehlerhafte "WMI-Brooker-Objekt" des ActiveX-Steuerelements von Hackern als Schlupfloch genutzt werden. Betroffen von der Schwachstelle sind allerdings nicht alle Editionen der breit gefächerten Produktpalette, die auf Visual Studio zurückgreift. Herrscht Zweifel darüber, ob die fragliche Komponente auf dem eigenen Rechner installiert ist, hilft der "Microsoft Baseline Security Analyzer" weiter. Das Freeware-Tool überprüfen, ob das Update erforderlich ist.
Quelle:
http://oncomputer.t-online.de/c/98/9...8482,si=0.html
Zitieren