Microsoft hat an seinem monatlichen Patch-Day fünf Security-Updates veröffentlicht, mit denen insgesamt acht Fehler berichtigt werden - darunter auch eine Schwachstelle in Windows Vista. Drei der vier bereitgestellten Windows-Patches behandeln "kritische" Probleme, ein weiterer Fix besitzt die Einstufung "hoch". Die Stufe "kritisch" vergibt das Unternehmen an Lücken, die einen Computer mit wenig oder ohne Mithilfe des Anwenders komplett kontrollierbar machen.
Unter den gepatchten Sicherheitslücken ist ein Zero-Day-Exploit, der bereits im Dezember 2006 entdeckt wurde. Sicherheitsexperten hatten den Fehler jedoch anfänglich als nicht gravierend eingeschätzt. Man war der Ansicht, dass er nur von jemand ausgenutzt werden könne, der Zugang zu dem betroffenen Rechner hätte.
Der "kritische" Fehler steckt in einer wichtigen Windows-Komponente, dem Client-Server-Runtime-Subsystem, und betrifft alle Windows-Versionen, heißt es im Security Bulletin MS07-021. "Wenn ein Benutzer eine speziell gestaltete Website aufruft, kann ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, vollständige Kontrolle über das betroffene System erlangen." MS07-021 ist der einzige Patch, der Windows Vista betrifft.
Alle anderen Windows-Updates sind für den Vorgänger Windows XP gedacht. Darin enthalten ist eine kritische Lücke im Hilfe-Tool Microsoft Agent. Laut Security Bulletin MS07-020 behandelt der Agent bestimmte Weblinks fehlerhaft. Diese Lücke könne von einer böswilligen Website ausgenutzt werden.
Microsofts Security Bulletin MS07-019 zufolge hat Windows XP zusätzlich einen kritischen Fehler in seiner Plug-and-Play-Funktion. Angreifer können nach Einschätzung der Microsoft-Experten diese Lücke ausnutzen, ohne dass der betroffene Anwender irgendetwas tut. Allerdings müsse der Angreifer im selben Subnetz sein wie der attackierte Rechner. Die Angriffe könnten durch eine Firewall abgewendet werden.
Eine weiterer Sicherheitsbericht schildert zwei Lücken in Microsofts Content Management Server. Laut Security Bulletin MS07-018 kann ein Angreifer über einen Exploit die Kontrolle über eine Website erlangen, die von dieser Software verwaltet wird.
