Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Gab es in den letzten zwei Monaten insgesamt 18 Bulletins, so sind es diesen Monat nur drei, die allesamt als kritisch eingestuft werden. Mit dabei ist die erst kürzlich entdeckte schwere Lücke im Internet Explorer.
Auch wenn Microsoft diesen Monat die schwere Lücke recht kurzfristig schließen konnte, gilt für den IE weiterhin:
Surfen Sie nur mit einem eingeschränkten Account.
Schalten Sie aktive Inhalte (Scripting und ActiveX) nur für absolut vertrauenswürdige Sites frei.
Klicken Sie nicht auf jeden Link, insbesondere nicht auf Links aus dubiosen Quellen (etwa Spam-Mails).
Besuchen Sie wichtige Sites wie Online-Banking oder Ähnliches nur über Bookmarks.
Wenn Sie nicht unbedingt auf den Internet Explorer angewiesen sind, sollten Sie einen alternativen Browser in Erwägung ziehen.
MS05-035: Lücke in Word erlaubt Ausführen beliebigen Codes
Betroffen von dieser Lücke sind Microsoft Word 2000 und Microsoft Word 2002. Diese Programme sind in Office 2000, Office XP oder in der Microsoft Works Suite der Versionen 2000 bis 2004 enthalten.
Das Problem ist ein ungeprüfter Puffer bei der Verarbeitung von Fonts. Ein Angreifer muss dazu lediglich den Benutzer dazu bringen, ein speziell vorbereitetes Word-Dokument zu öffnen. Die tatsächlichen Auswirkungen hängen davon ab, mit welchen Rechten der Benutzer eingeloggt ist.
Datum | 12.07.2005 |
|---|---|
Warnstufe | kritisch |
Betrifft | Microsoft Word 2000 und Microsoft Word 2003 |
Auswirkung | Ausführung beliebigen Codes |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security |
MS05-036: Lücke in Farbverwaltung erlaubt Ausführen beliebigen Codes
Ein Fehler bei der Verarbeitung von ICC-Farbprofilen ermöglicht es einem Angreifer, beliebigen Code auf dem System auszuführen. Der Grund ist ein ungeprüfter Puffer beim Validieren der Format-Tags.
Der Angreifer muss das Opfer lediglich dazu bringen, ein speziell präpariertes Bild zu betrachten, indem er es beispielsweise in eine Webseite einbindet oder per E-Mail verschickt. Die tatsächlichen Auswirkungen hängen davon ab, mit welchen Rechten der Benutzer eingeloggt ist.
Datum | 12.07.2005 |
|---|---|
Warnstufe | kritisch |
Betrifft | Microsoft Windows |
Auswirkung | Ausführung beliebigen Codes |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security |
MS05-037: Lücke in Java-Profiler erlaubt Ausführen beliebigen Codes
Der Java-Profiler (Jview) ist eine Debugging-Schnittstelle für die Microsoft Java Virtual Machine. Das entsprechende COM-Objekt (Javaprxy.dll) soll laut Microsoft eigentlich gar nicht vom Internet Explorer instantiiert werden können. Durch einen Fehler ist das allerdings dennoch möglich. Unter bestimmten Umständen kann das dazu führen, dass der Systemspeicher korrumpiert und in Folge dessen beliebiger Code ausgeführt wird.
Ein Angreifer muss das Opfer auf eine speziell präparierte Webseite locken, um die Lücke auszunutzen. Mit dem Update verhindert Microsoft, dass der Java-Profiler vom Internet Explorer angesprochen wird, indem es das so genannte Kill-Bit setzt. (mha)
Datum | 12.07.2005 |
|---|---|
Warnstufe | kritisch |
Betrifft | Internet Explorer ab Version 5.01 |
Auswirkung | Ausführung beliebigen Codes |
Workaround | siehe Security-Bulletin |
Updates | siehe Security-Bulletin |
CVE | |
tecCHANNEL-Security |