Patch-Day

Microsoft veröffentlicht drei Sicherheits-Updates

September-Patch-Day repariert eine kritische Sicherheitslücke
Von Christian Horn

Wie angekündigt hat Microsoft heute drei Sicherheits-Updates veröffentlicht. Nur ein Update wird dabei als "kritisch" ausgewiesen, ein Update wird als "wichtig" bezeichnet, das dritte Sicherheits-Update erhält nur die Gefährdungs-Einstufung "moderat". Wie üblich erhalten Nutzer, die die Update-Funktion von Windows aktiviert haben, die Patches automatisch. Für den manuellen Download stehen die Updates in Microsofts TechNet-Sicherheitsportal oder in Microsofts Download Center bereit.

Sicherheitsleck in Word 2000 wird nicht geflickt

Das kritische Sicherheits-Update flickt nicht wie erhofft das in der vergangenen Woche aufgetauchte Sicherheitsleck in Word 2000, sondern repariert eine Schwachstelle im Microsoft Publisher. Hier könnte ein Angreifer über eine präparierte Word-Datei die komplette Kontrolle über das betroffene System gewinnen. Der Angreifer müsste dem Nutzer jedoch zuerst, über den Download von einer Webseite oder als E-Mail-Anhang, die präparierte Datei unterschieben. Bei einem E-Mail-basierten Angriff ist keine automatische Ausführung der präparierten Datei möglich, der Nutzer muss die Datei zuerst selbst öffnen. Die Schwachstelle wird mit dem Sicherheits-Update MS06-054 behoben.

Das als wichtig eingestufte Sicherheits-Update betrifft eine Schwachstelle im Pragmatic General Multicast (PGM)-Dienst; dieser Dienst ist bei Windows allerdings nicht per Standard aktiviert. Auch über diese Schwachstelle könnte ein Angreifer die komplette Kontrolle über das System gewinnen. Das dritte, von Microsoft als "moderat" eingestufte Sicherheits-Update repariert eine Schwachstelle im Windows Indexing Service, die Cross-Site-Scripting-Angriffe erlaubt hätte.

August-Patch-Day als Nebenwirkungs-Debakel

Wie jetzt bekannt wurde, scheint Microsofts August-Patch-Day noch eine weitere unerwünschte Nebenwirkung zu zeitigen: Nach Nutzer-Berichten kann das Sicherheits-Update MS06-049, das eine Sicherheitslücke im Windows-Kernel beheben sollte, zum Verlust von Daten in komprimierten Ordnern führen. Von Microsoft liegt zu dieser Problematik noch keine Stellungnahme vor.

Der August-Patch-Day mit seinem Dutzend Sicherheits-Updates kann somit guten Gewissens als Nebenwirkungs-Debakel bezeichnet werden: Zuerst starteten Wurm-Angriffe auf eine gepatchte Serverdienst-Schwachstelle, die sich im Laufe des Monats noch erheblich verstärken sollten. Weitere Sicherheits-Updates legten das Brockhaus-Lexikon und die Microsoft-Software Navision lahm. Zudem stellte sich heraus, dass ein Sicherheits-Update für den Internet Explorer selbst eine kritisches Sicherheitsleck aufgerissen hatte - Microsoft musste ein Patch-Update nachreichen.

Mehr zum Thema Brockhaus