"Kritische" Fehler in Internet Explorer 7, Office 2007 und Exchange 2007
Die allmonatliche Patch-Runde von Microsoft bringt im Mai sieben Security Bulletins, die alle mit der höchsten Alarmstufe bewertet wurden. Über "kritische" Sicherheitslücken kann ein Angreifer typischerweise die volle Kontrolle über einen Computer erlangen, ohne dass das Opfer dazu beigetragen hat. Die Fixes stehen ab sofort zum Download bereit.
Bulletin MS07_027 soll sechs Fehler im Internet Explorer ab Version 5.01 korrigieren, die durch manipulierte Websites ausgenutzt werden könnten. Drei Microsoft-Updates beschäftigen sich mit Lücken in Office-Anwendungen, darunter auch Programme in Office 2007. Die meisten Bugs beträfen Fehler bei der Behandlung von Dateitypen, die Hacker durch manipulierte Dateien ausnutzen könnten, so Microsoft.
Exchange enthalte eine Sicherheitslücke, durch die ein Angreifer ohne das Zutun des Opfers die volle Kontrolle über einen Computer mit dem E-Mail-Server erlangen könne. Insgesamt gibt es laut Microsoft vier Lücken in mehreren Exchange-Versionen, darunter auch Exchange 2007, die im Bulletin MS07_026 behoben seien. Ein weiterer Fehler befindet sich laut Security Bulletin MS07-028 in der Kryptografie-Schnittstelle "Capicom".
Mit dem Mai-Patchday werden Microsoft zufolge auch drei Zero-Day-Sicherheitslücken beseitigt. Unter den Fixes ist zudem ein lange erwarteter Patch für einen Fehler im Windows Domain Name System (DNS). Die Sicherheitslücke betrifft Windows 2000 und Windows Server 2003.
Microsoft hatte bereits im vergangenen Monat vor dem Fehler gewarnt und darauf hingewiesen, dass er für "begrenzte Angriffe" genutzt werde. Die übrigen Zero-Day-Lücken, für die es nun Fixes gibt, betreffen den Internet Explorer und Word. Der Word-Fehler sei bereits bei einigen Angriffen ausgenutzt worden.
Dass einige der aktuell gemeldeten "kritischen" Fehler in den neuen Produkten Internet Explorer 7, Office 2007 und Exchange 2007 entdeckt wurden, wirft laut Amol Sarwate, Manager des Vulnerability Research Lab bei Qualys, ein trübes Licht auf die Sicherheitsversprechungen von Microsoft. Das Unternehmen hatte diese Software als sicher angepriesen und auf seine sicherheitsorientierten Entwicklungsverfahren verwiesen. "Microsofts 2007-Programme, Exchange und Office eingerechnet, erscheinen weiter mit Sicherheitslücken. Das zeigt, dass der Security Development Lifecycle von Microsoft wohl nicht unfehlbar ist", sagte Sarwate.
Quelle:
http://www.zdnet.de/security/news/0,...9154273,00.htm
Zitieren