Am September-Patchday schließt Microsoft zwei Lücken in den Windows-Betriebssystemen und eine Schwachstelle in MS Office – den bereits aktiv ausgenutzten Fehler in Word 2000 behebt das Unternehmen allerdings noch nicht.
Die einzige als kritisch eingestufte Sicherheitslücke betrifft die Office-Komponente Microsoft Publisher. Durch Fehler beim Verarbeiten präparierter Publisher-Dokumente (.pub) kann Schadcode eingeschleust und mit den Rechten des Anwenders ausgeführt werden. Nach dem Update lassen sich mit Publisher 2.0 erstellte Dokumente nicht mehr öffnen; für weitere Informationen verweist Microsoft auf einen Knowledgebase-Artikel.
Als wichtig stuft Microsoft eine Sicherheitslücke in den Microsoft Message Queuing Services (MSQM) ein. MSQM rüstet die Unterstützung für die Multicast-Variante Pragmatic General Multicast (PGM) nach, einer Art Multicast mit Quality-of-Service-Elementen. Angreifer können mit manipulierten PGM-Paketen beliebigen Programmcode auf den Rechner einschleusen und die vollständige Kontrolle über ihn erlangen. Bei einer Windows-Standardinstallation wird der Dienst allerdings nicht installiert.
Die Einstufung mittel erhält eine Cross-Site-Scripting-Lücke -- übersetzt mit "siteübergreifende Skripterstellung" -- im Indexdienst. Er überprüft Suchanfragen nicht korrekt. Dadurch ist es möglich, Scriptcode im Kontext eines anderen Anwenders auszuführen sowie damit Inhalte zu fälschen und Informationen auszuspähen.
Über das Windows Update werden wie angekündigt noch zwei weitere, nicht sicherheitsrelevante Patches ausgeliefert. Das eine Update behebt Fehler in den Audio-Komponenten von Windows, das andere merzt ein Problem im Zusammenspiel zwischen Microsofts Filter-Manager und den unterschiedlichen Updatemechanismen aus, das dazu führen kann, dass auf betroffenen Rechnern Updates nicht eingespielt werden können.
Die überschaubare Anzahl der Patches gibt hoffentlich den immer noch von der Patch-Flut der letzten Monate geplagten Administratoren eine Verschnaufpause -- sofern nicht wieder unerwartete Unverträglichkeiten für Stress sorgen. Bleibt nur zu hoffen, dass die Redmonder auch bald einen Patch für die kritische Lücke in Word bereitstellen und dafür nicht noch einen ganzen Monat ins Land ziehen lassen. Bis dahin gilt es, bei Doc-Dateien verschärfte Vorsicht walten zu lassen.
quelle: heise
tja, eines ist zu erkennen. der anwender wird sich mit der situation anfreunden müssen, dass er mit unpatchten bugs die aktiv ausgenutzt werden konfrontiert wird. von daher ist stets äusserte vorsicht geboten und das trotz firewall, virenscanner und autoupdate.
