Microsoft hat am Dienstag fünf Security Bulletins samt Updates veröffentlicht, die 14 überwiegend kritische Sicherheitslöcher in seiner Software schließen.
Das im Bulletin MS06-013 enthaltene "kumulative Sicherheitsupdate für Internet Explorer" verdient nach Microsofts Bewertungsskala den Schweregrad "kritisch". Es stopft gleich zehn Lücken im Windows-eigenen Webbrowser. Ganze acht der ausgebügelten Schwachstellen bieten Angreifern die Möglichkeit, die komplette Systemkontrolle zu übernehmen. Zu den behobenen Problemen gehört die als "createTextRange" bekannte Anfälligkeit, die von Übeltätern bereits seit Wochen aktiv ausgenutzt wird.
Neben dem IE-Megapatch stopft Microsoft mit den Bulletins MS06-014 und MS06-015 Löcher im Windows Explorer sowie in Funktionen der Microsoft Data Access Components, die sein Security Response Team mit der höchsten Warnstufe versehen hat. Auch bei diesen Lücken besteht die Gefahr, dass ein Angreifer beliebigen Programmcode einschleusen und im Kontext des angemeldeten Benutzers ausführen könnte.
Bulletin MS06-016 (Schweregrad "hoch") behandelt ein Sicherheitsproblem in Outlook Express, das beim Importieren von manipulierten Windows-Adressbüchern (.wab) entstehen kann. MS06-017 (Schweregrad "mittel") beseitigt einen Fehler in Microsofts Frontpage-Servererweiterungen, der sich für Cross-Site-Scripting-Angriffe instrumentalisieren lässt. Beide Bedrohungen setzen eine Interaktion des Anwenders voraus.
Neben den Bulletins stellt Microsoft in gewohnter Manier eine neue Version des "Windows-Tool zum Entfernen bösartiger Software" zum Download bereit. Die Software erkennt und löscht gängige Malware, die sich im System eingenistet hat, schützt jedoch nicht vor dem Befall.
Windows-Anwender sollten die zur Verfügung gestellten Updates schnellstmöglich herunterladen und installieren. Die Patches können manuell von der Microsoft-Website oder direkt über Windows Update bezogen werden.
Weitere Informationen:
- Microsoft Security Bulletin Summary für April 2006
- Microsoft Security Bulletin MS06-013
Kumulatives Sicherheitsupdate für Internet Explorer (912812) - Microsoft Security Bulletin MS06-014
Sicherheitsanfälligkeit in MDAC-Funktion (Microsoft Data Access Components) kann Codeausführung ermöglichen (911562) - Microsoft Security Bulletin MS06-015
Sicherheitsanfälligkeit in Windows Explorer kann Codeausführung von Remotestandorten aus ermöglichen - Microsoft Security Bulletin MS06-016
Kumulatives Sicherheitsupdate für Outlook Express (911567) - Microsoft Security Bulletin MS06-017
Sicherheitsanfälligkeit in Microsoft FrontPage-Servererweiterungen kann siteübergreifende Skripterstellung ermöglichen (917627)
Lesermeinungen zum Artikel