Patch-Day

Microsoft veröffentlicht zwölf Sicherheits-Updates

Bekannte Word-Lecks und Office-Sicherheitslücke geschlossen
Von Christian Horn

Zum Februar-Patch-Day hat Microsoft wie bereits angekündigt zwölf Sicherheits-Updates veröffentlicht. Hinter den zwölf Updates stecken eine Vielzahl von Patches, die Sicherheitslücken in Windows, Office und anderen Microsoft-Produkten schließen. Der Software-Hersteller holt dabei die im Januar versäumte Reparatur von drei bereits im Dezember bekannt gewordenen kritischen Sicherheitslücken in Word nach, und stopft zudem das vierte Word-Leck, das Ende Januar aufgedeckt wurde. Überraschend schnell dagegen wird auch ein Sicherheits-Leck in Office ausgebessert, das gerade Anfang Februar bekannt geworden war. Microsoft-Nutzer, die die Windows-Update-Funktion aktiviert haben, erhalten die Sicherheits-Updates automatisch. Die Updates können aber auch manuell von Microsofts TechWeb-Website oder von den Download-Seiten des Herstellers heruntergeladen werden.

Updates für Word, Office und Internet Explorer

Von den insgesamt zwölf veröffentlichten Updates werden sechs als "kritisch" und sechs als "wichtig" eingestuft. In dem für die Word-Schwachstellen zuständigen Security Bulletin MS07-014 sind sechs Patches für das Textverarbeitungsprogramm enthalten. Neben den vier bekannten Word-Lecks werden also noch zwei weitere Word-Schwachstellen ausgebessert. Alle sechs Schwachstellen hätten die Remote-Ausführung von beliebigem Code erlaubt. Im Security Bulletin MS07-015, das die Anfang Februar bekannt gewordene Office-Schwachstelle, die bereits über manipulierte Excel-Dateien ausgenutzt worden war, repariert, wird als zweiter Patch ein Update für PowerPoint veröffentlicht. Auch über diese beiden Lücken wäre eine Remote-Kontrolle des Rechners möglich gewesen. Als kumulatives Sicherheits-Update für den Internet Explorer in den Versionen 5 bis 7 schließt das Security Bulletin MS07-016 drei kritische Sicherheitslücken in Microsofts Webbrowser.

Schwachstelle im Microsofts Sicherheits-Produkten

Die drei übrigen kritischen Updates liefern einen Patch für eine ActiveX-Schwachstelle in der HTML-Hilfe, einen Patch für eine weitere ActiveX-Lücke in den Microsoft Data Access Components (MDAC), sowie einen Patch für die Microsoft Malware Protection Engine. Durch die letztgenannte Schwachstelle waren mehrere Microsoft-Sicherheits-Produke - Windows Live OneCare, Microsoft Antigen, Windows Defender und Microsoft Forefront - angreifbar und hätten bei einer Ausnutzung der Schwachstelle eine Remote-Übernahme des Rechners erlaubt.

Die sechs als wichtig eingestuften Sicherheits-Updates reparieren Lecks in der Windows Shell und im Windows Image Aquistion Service, die eine Erhöhung der Benutzerrechte erlaubt hätten, sowie Schwachstellen im Step-by-Step Interactive Training, im Microsoft OLE-Dialog, in Microsoft RichEdit sowie in Microsoft MFC, die Remote-Code-Ausführung erlaubt hätten.