Patch-Day

Microsoft lässt zum Patch-Day Sicherheitslücke in ActiveX offen

Wichtige, aber keine kritischen Updates stehen zum Download bereit
Von Christian Horn
Kommentare (1577)
AAA
Teilen

Vier Updates liefert Microsoft zum Patch-Day im Juli: SQL Server, Windows Explorer, Windows DNS und Exchange Server werden mit Sicherheits-Patches gegen Remote-Ausführung von Code, Spoofing und Erhöhung von Nutzerrechten versorgt. Der Software-Hersteller stuft die Juli-Updates lediglich als "wichtig" ein. Updates der Gefährdungsklasse "kritisch" gibt es an diesem Patch-Day nicht.

Microsoft verteilt die Updates wie gewohnt automatisch über die Update-Funktion von Windows. Die Updates können aber auch von den Microsoft-Downloadseiten manuell heruntergeladen werden.

Vier "wichtige" Security Bulletins

Im ersten Security Bulletin des Tages (MS08-037) räumt Microsoft mit zwei Spoofing-Sicherheitlücken in Windows DNS auf. Über die Lecks, die sowohl im DNS-Client als auch im DNS-Server zu finden sind, können Angreifer den Netzwerk-Traffic auf ihre eigenen Systeme umleiten. Das nächste Security Bulletin (MS08-038) beseitigt eine Sicherheitslücke im Windows Explorer bei Systemen mit Windows Vista und Windows Server 2008. Das Leck kann zur Remote-Ausführung von Code und zur Übernahme des Systems missbraucht werden, wenn eine speziell präparierte Suchdatei im Windows Explorer gespeichert wird.

Die Sicherheits-Bulletin MS08-039 und MS08-040 reparieren Sicherheitsanfälligkeiten in Outlook Web Access (OWA) für Exchange Server und Microsoft SQL Server. Jeweils zwei Lecks in OWA und vier Lecks in SQL Server erlauben hier die nicht authorisierte Erhöhung von Nutzerrechten.

Kein Patch für kritisches AcitveX-Sicherheitsleck

Ohne Patch bleibt ein kritisches ActiveX-Sicherheitsleck im Snapshot Viewer der Office-Datenbank Access. Microsoft gab für dieses Leck gestern eine Sicherheitswarnung heraus, hat es offenbar aber nicht geschafft bis heute einen Patch für die Schwachstelle fertig zu stellen.

Nach Angaben von Microsoft sind Microsoft Office Access 2000, 2002 und 2003 sowie die Standalone-Version des Snapshot Viewer von der Schwachstelle betroffen. Nutzer, die diese Access-Komponenten installiert haben, müssen lediglich eine präparierte Website besuchen, damit Angreifer über das Leck beliebigen Code ausführen und die vollständige Kontrolle über das System erlangen können. Microsoft zufolge wird das Sicherheitsleck bereits in gezielten Angriffen ausgenutzt.

In seiner Sicherheitswarnung veröffentlicht Microsoft manuelle Workarounds, die die Angreifbarkeit des Systems eindämmen. Diese beheben allerdings nicht das zu Grunde liegende Sicherheitsleck und ziehen teilweise auch Einbußen bei der Funktionalität nach sich. Wann ein Patch für das ActiveX-Leck bereitgestellt wird, ist nicht bekannt.

Teilen