Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Im April gab es fünf Bulletins, dieser Monat gehört mit drei Bulletins zu den ruhigeren Tagen. Microsoft hält zwei dieser Lücken für kritisch.
Der Internet Explorer ist - zwar nur indirekt - wieder mit dabei. Wenn Sie weiterhin nicht auf den Browser verzichten können oder wollen:
-
Surfen Sie nur mit einem eingeschränkten Account.
-
Schalten Sie aktive Inhalte (Scripting und ActiveX) nur für absolut vertrauenswürdige Sites frei.
-
Klicken Sie nicht auf jeden Link, insbesondere nicht auf Links aus dubiosen Quellen (etwa Spam-Mails).
-
Besuchen Sie wichtige Sites wie Online-Banking oder Ähnliches nur über Bookmarks.
-
Wenn Sie nicht unbedingt auf den Internet Explorer angewiesen sind, sollten Sie einen alternativen Browser in Erwägung ziehen.
MS06-018: DoS über Distributed Transaction Coordinator
Über zwei ungeprüfte Puffer in der MSDTC-Komponente können Angreifer einen Denial of Service ausführen. Dazu muss der Angreifer lediglich ein speziell aufgebautes Paket an das System schicken.
Wenn der Distributed Transaction Coordinator nicht mehr reagiert, funktionieren auch davon abhängige Dienste nicht mehr. Allerdings wird der DTC auf Windows XP und Windows Server 2003 per Default nicht genutzt.
Datum |
10.05.2006 |
---|---|
Warnstufe |
Wichtig |
Betrifft |
Windows 2000 bis SP4, XP 32-Bit bis SP2, Windows Server 2003 32-Bit |
Auswirkung |
Denial of Service |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS06-019: Kritischer Fehler in Exchange
Bei der Verarbeitung von bestimmten iCal- oder vCal-Eigenschaften in Emails kann die entsprechende Komponente (CDO, Collaboration Data Objects) aufgrund eines ungeprüften Puffers fehlschlagen. Infolgedessen kann es zur Ausführung beliebigen Codes kommen.
iCal und vCal sind MIME-Formate für Kalender-Informationen, die via Email übertragen werden können, um Kalender und Termine abzugleichen. Ein Angreifer könnte also eine speziell formatierte Email mit iCal- oder vCal-Informationen an eine Exchange-Mailbox schicken, um die Lücke auszunutzen.
Datum |
10.05.2006 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Exchange 2000 und 2003 |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS06-020: Kritischer Fehler im Flash Player
Mitte März veröffentlichte Adobe Informationen über eine kritische Lücke im Flash Player. Jetzt liefert Microsoft ein entsprechendes Update über Windows-Update nach. Wer also noch nicht bei Adobe auf eine höhere Flash-Version (7 oder 8) aktualisiert hat, erhält nun mit Windows Update zumindest die aktuellste Version der 6er-Reihe (6.0.84.0). Benutzer mit Flash der Version 7 oder 8 sollten sich das Update direkt bei Adobe holen. Dort gibt es allerdings nur die Version 8. Wer nicht auf diese Version umsteigen will, holt sich hier die Fehlerbereinigung für Flash 7.
Ursache für den Fehler ist ein ungeprüfter Puffer im Player-ActiveX, über den ein Angreifer beliebigen Code mit den Rechten des gerade surfenden Benutzers ausführen kann. Dazu muss der Angreifer das Opfer nur dazu bewegen, ein entsprechend präpariertes Flash anzuschauen - entweder über eine Webseite oder eine Email mit eingebettetem Flash.
Datum |
10.05.2006 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Windows XP 32-Bit bis SP2, Windows 98, 98SE und ME |
Auswirkung |
Code-Ausführung |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |