Der Oktober Patch-Day bei Microsoft bringt wieder eine ganze Reihe neuer Sicherheitsflicken in den heimischen PC. Etliche der Sicherheitslücken, die jetzt gestopft werden sollen, werden von Microsoft als kritisch eingestuft. Betroffen sind verschiedene Windows-Systeme. Ein Großteil der Sicherheitslecks wurde zwar schon mit dem Service Pack 2 für Windows XP behoben. Trotzdem ist der User mit dem XP Service Pack 2 nicht auf der sicheren Seite. Denn einige Sicherheitslücken betreffen auch XP-Systeme, auf denen das Service Pack 2 bereits installiert wurde.
Acht Sicherheitslecks im Internet Explorer
Das Service Pack 2 mag Windows XP insgesamt sicherer gemacht haben. Schwachstellen und Sicherheitslücken gibt es trotzdem offenbar noch in Hülle und Fülle – insbesondere im Internet Explorer. Für seinen Browser liefert Microsoft dementsprechend ein kumulatives Sicherheitsupdate, das insgesamt acht Sicherheitslücken schließen soll. Deren Schweregrad stuft Microsoft in seinem Security Bulletin mit „kritisch“ bzw. „hoch“ ein. Es empfiehlt sich also dringend, diesen kumulativen Patch herunterzuladen und zu installieren – und zwar so schnell wie möglich, bevor Hacker oder Virenbastler auf die Idee kommen, die nunmehr auch offiziell bekannt gewordenen Sicherheitslecks für ihre Zwecke auszunutzen.
Kaperung fremder Systeme möglich
In seinem Sicherheitsbulletin MS04-38 beschreibt Microsoft in allen Einzelheiten die einzelnen Sicherheitsanfälligkeiten und deren Auswirkungen. Bei drei der nunmehr gepachten Sicherheitslecks wäre es einem böswilligen Angreifer möglich, das System des Users auszuspionieren und Informationen offen zu legen. Die anderen fünf Lecks könnte ein Angreifer nutzen, um eigenen Programmcode ins System des Users zu schleusen, den PC auf diese Weise zu kapern und fernzusteuern. Er könnte also die vollständige Kontrolle über das betroffene System erlangen und wäre somit in der Lage, beliebige Aktionen auszuführen. Er könnte neue Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit uneingeschränkten Berechtigungen einrichten. Voraussetzung ist allerdings, dass der betroffene User selbst mit Administratorrechten angemeldet ist. Microsoft weist ausdrücklich darauf hin, dass für Benutzer, deren Konten mit geringeren Systemrechten konfiguriert seien, ein geringeres Risiko bestehe.
Weitere Sicherheitslücken und betroffene Systeme
Die anderen Sicherheitslücken, die Microsoft mit seinen Sammelpatches stopfen will, wurden bereits durch das Service Pack 2 geschlossen. Für alle anderen User betroffener Windows-Systeme empfiehlt sich allerdings das Herunterladen und Einspielen der Updates. Sie stehen per Windows-Update zur Verfügung und lassen sich jeweils auch einzeln herunterladen. So weist beispielsweise das Sicherheitsbulletin MS04-032 auf ein schweres Leck unter Windows Server 2003, Windows XP, 200 sowie NT hin, das durch einen Fehler beim Rendern von Grafiken im Format wmf oder emf das Ausführen von fremdem Programmcode erlaubt. Dafür reicht es schon aus, wenn ein Bild mit einer Anwendung geöffnet wird. Als ebenfalls besonders kritisch wird laut Sicherheitsbulletin MS04-034 eine Schwachstelle bei der Verarbeitung von zip-Dateien unter Windows XP und Server 2003 eingestuft. Weitere Lecks sowie die jeweils betroffenen Systeme werden in den Bulletins MS04-035 und MS04-036 beschrieben. Als besonders schwer wiegend ist schließlich der Fehler einzustufen, der im Microsoft-Bulletin MS04-037 gelistet wird. Ein Fehler in der Windows-Shell ermöglicht es einem Angreifer, über manipulierte Webseiten Programmcode in das System des Surfers einzuschleusen. Betroffen sind u. a. die Windows-Betriebssysteme 98, ME, 2000 sowie XP (ohne Service Pack 2).
Zurück zur News-Übersicht