Microsoft Patch Day: Ruhiger November

Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.

Nach sechs Bulletins im Oktober ist es diesmal sehr ruhig. Je eine kritische und wichtige Sicherheitslücke wird im November entfernt. In beiden Fällen ist Windows direkt betroffen.

MS07-061: Code-Ausführung über fehlerhafte URI-Verarbeitung

Die kritische Lücke betrifft alle aktuellen Windows-Betriebssysteme, mit Ausnahme von Vista. Die Lücke tritt auf, wenn der aktuelle Internet Explorer 7 auf den Systemen installiert ist. Angreifer können dann ein beliebiges Programm ausführen, wenn Sie eine bestimmte Ziffernfolge in einen URI-Handler, etwa mailto: integrieren.

Die Schwachstelle wurde unter anderen mit den URI-Handlern von mIRC, Outlook, Firefox, Adobe und Skype nachgewiesen. Kritisch ist hier, dass die Angreifer mit den Nutzern zwar interagieren müssen, sich ein entsprechend präparierter Link aber leicht unterschieben lässt.

MS07-062: Spoofing-Lücken in Windows

Das als wichtig eingestufte Update entfernt eine Schwachstelle in Windows, die sich für Spoofing-Angriffe nutzen ließ. Angreifer konnten dadurch die DNS-Requests manipulieren, und so den Internet-Traffic mithören oder gar umleiten.

Die Lücke selbst trat im DNS-Server von Windows 2000 Server SP4 und Server 2003 auf. Windows 2000, XP und Vista sind von der Lücke nicht betroffen.