Patch-Day-Spezial: Die Sicherheitslücken im Detail

Microsoft veröffentlicht heute zwei Updates, die Sicherheitslöcher im Internet Explorer und Visual Studio schließen. Beide Sicherheitslücken würde das ausführen beliebigen Codes von außen erlauben. Das Einspielen der beiden Updates verlangt ein Neustart des Systems.

Das kumulative Sicherheitsupdate MS09-034 behebt eine Sicherheitslücke im Internet Explorer. Das als kritisch eingestufte Leck, erlaubt das Ausführen von Code, wenn ein Benutzer eine speziell veränderte Webseite öffnet. Nutzt ein Angreifer diese Sicherheitslücke aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Auf Rechnern mit eingeschränkten Benutzerrechten könnte das Sicherheitsleck geringere Auswirkungen haben als auf Systemen mit uneingeschränkten rechten. Das Update behebt das Sicherheitsloch, indem es den Angriff auf die Microsoft Active Template Library (ATL) verhindert. Von der Sicherheitslücke sind nahezu alle Versionen des Internet Explorer betroffen. Für Windows Server 2003 und 2008 ist die IE-Schwachstelle lediglich als mittel eingestuft.

Dieses Sicherheitsupdate MS09-035 behebt ein Leck in der Visual-Studio-Software. Die als mittel eingestufte Lücke erlaubt das Ausführen von Code, wenn ein Anwender den anfälligen Bestandteil der Microsoft Active Template Library (ATL) nutzt. Das Sicherheitsupdate behebt das Sicherheitsleck, indem der ATL-Header so verändert wird, dass eine sichere Initialisierung des Datenstroms erfolgen kann. Die Sicherheitslücke in Visual Studio betrifft: Microsoft Visual Studio .NET 2003, Microsoft Visual Studio 2005 und 2008, Microsoft Visual C++ 2005 und 2008. (hal)