Patch-Day

Microsoft schließt zwei Dutzend Sicherheitslücken

Elf Security Bulletins sollen 25 Sicherheitslecks reparieren
Von Christian Horn

Nach einem vergleichsweise ruhigen Patch-Day im Juli mit nur vier "wichtigen" Sicherheits-Updates, fährt Microsoft zum Patch-Day im August großes Geschütz auf und hat elf Security Bulletins veröffentlicht, die insgesamt 25 Sicherheitslecks in Microsoft-Produkten schließen sollen. Sieben "kritische" Security Bulletins stellt der Hersteller für Lecks im Internet Explorer, in Access, Exel, Office und in Windows bereit. Fünf Security Bulletins gibt es für Sicherheitslecks der Gefährdungsstufe "wichtig".

Mit den heute veröffentlichten Sicherheits-Updates repariert Microsoft auch ein bereits von Angreifern ausnutztes Sicherheitsleck in Word 2002 und ein ActiveX-Leck in Access. Microsofts Sicherheits-Updates können wie üblich über die automatische Update-Funktion von Windows oder über die Download- und TechNet-Webseiten des Herstellers heruntergeladen werden.

Kumulatives Sicherheits-Update für den Internet Explorer

Ein kritisches ActiveX-Leck in Access, über das Angreifer beliebigen Code auf dem betroffenen Rechner ausführen können, schließt Microsoft mit dem Security Bulletin MS08-041. Das Sicherheitsleck war erst kurz vor dem Patch-Day im Juli bekannt geworden und Microsoft hatte es damals nicht geschafft, kurzfristig noch einen Patch bereit zu stellen.

Die umfangreichsten Update-Pakete liefert Microsoft für den Internet Explorer, das Tabellenkalkulationsprogramm Excel, das Präsentationsprogramm Powerpoint und für die Microsoft Office Filters: Für fünf kritische Sicherheitslecks im Internet Explorer der Versionen 5, 6 und 7 wird im Security Bulletin MS08-045 ein kumulatives Update bereitgestellt. Mit den Security Bulletins MS08-043 und MS08-044 werden vier beziehungsweise fünf Patches für Lecks in Excel und den Office Filters geliefert, und im Security Bulletin MS08-051 werden drei Lecks in Powerpoint repariert. Ein weiteres kritisches Security Bulletin, das nur einen Patch enthält, gibt es für das Windows Image Color Management System. Alle genannten kritischen Lecks erlauben die Ausführung von beliebigem Code auf einem attackierten Rechner.

Bei den fünf als "wichtig" eingestuften Sicherheits-Updates liefert Microsoft einen Patch für ein von Angreifern bereits ausgenutztes Leck in Word 2002 und für zwei Lecks im Event System, die jeweils ebenfalls die Ausführung von beliebigem Code ermöglichen. Drei Security Bulletins für den Windows Messenger, Outlook Express und Windows Mail sowie für IPsec stellen Updates für Sicherheitslecks bereit, die Angreifern unberechtigten Zugriff auf Informationen erlauben.