Patch Day: Microsoft beseitigt sechs Lücken im Juli

11.07.2007

Wieder mal ist in Redmond Patch Day für Microsoft-Produkte. Diesmal beseitigt der Konzern drei Kritische, zwei wichtige und eine mittlere Sicherheitslücke.

Am zweiten Dienstag im Monat schickt Microsoft regulär die Updates für seine Produkte in die Welt. Der regelmäßige Zyklus soll Administratoren und andere IT-Verantwortliche helfen, ihre Systeme auf dem aktuellsten Stand zu halten.

Nachdem es im Juni mit zwei moderaten Lücken eher ruhig war, ist diesmal deutlich mehr geboten. So beseitigen die Entwickler je eine kritische Lücke in Excel, Active Directory und dem .NET-Framework. Außerdem kümmern sie sich um zwei wichtige Fehler im Publisher und dem IIS. Und auch Vista erhält seinen Anteil von den Patchen ab: In der Firewall wurde ein moderater Fehler gefunden, der nun auch beseitigt ist.

MS07-036: Code-Ausführung über Excel

Mit dem Update werden mehrere Lücken in Excel beseitigt. Diese sind kritisch, da Angreifer mittels speziell formatierter Excel-Tabellen Zugriff auf den Rechner des Opfers erhalten und anschließend beliebigen Code ausführen konnten.

IT-Anwender sollten dieses Update so schnell wie möglich einspielen, da sämtliche Office-Pakete seit der Version 2000 betroffen sind.

MS07-036: Code-Ausführung über Excel
Datum	11.07.2007
Warnstufe	Kritisch
Betrifft	Sämtliche Office-Systeme ab 2000
Auswirkung	Ausführen beliebigen Codes
Workaround	siehe Security-Bulletin
Updates	siehe Security-Bulletin
CVE	CVE-2007-3030, CVE-2007-3029, CVE-2007-31756

MS07-039: Code-Ausführung über Active Directory

Das zweite Update beseitigt eine Sicherheitslücke im Active Directory auf Windows 2000 und Server 2003. Angreifer können die Lücke nutzen, um eine Denial-of-Service-Attacke gegen den Server zu fahren. In seltenen Fällen lässt sich auch Code auf dem Server ausführen.

Betroffen sind die Betriebssysteme:

Windows 2000 Server SP4
Windows Server 2003 SP1 und SP2
Windows Server 2003 x64 mit und ohne SP2
Windows Server 2003 Itanium SP1 und SP2

MS07-039: Code-Ausführung über Active Directory
Datum	11.07.2007
Warnstufe	Kritisch
Betrifft	Windows 2000 Server, Windows Server 2003
Auswirkung	Denial of Service, Ausführen beliebigen Codes
Workaround	siehe Security-Bulletin
Updates	siehe Security-Bulletin
CVE	CVE-2007-3028, CVE-2007-0040

MS07-40: Code-Ausführung über das .NET-Framework

Drei verschiedene Sicherheitslücken wurden in der Entwicklungsumgebung des .NET-Frameworks gefunden. Zwei davon treten direkt in .NET auf, und erlauben das Ausführen von Code im Rechtekontext des Nutzers, der das Framework ausführt. Die dritte Lücke tritt in Zusammenhang mit ASP.NET auf und ermöglicht den Zugang zu möglicherweise sensitiven Informationen.

Betroffen sind die .NET-Frameworks vor Version 3.0. Die aktuellste Version ist laut Microsoft nicht anfällig.

MS07-039: Code-Ausführung über .NET-Framework
Datum	11.07.2007
Warnstufe	Kritisch
Betrifft	.NET-Framework 1.0 bis 2.0
Auswirkung	Ausführen beliebigen Codes, Ausspähen sensitiver Informationen
Workaround	siehe Security-Bulletin
Updates	siehe Security-Bulletin
CVE	CVE-2007-0042, CVE-2007-0041, CVE-2007-0043

MS07-037: Code-Ausführung über Microsoft Publisher

Der Publisher, Komponente des Office 2007 Paketes, enthält eine Sicherheitslücke, über die Angreifer Code im Rechtekontext des jeweiligen Nutzers ausführen können. Dazu müssen sie dem angegriffenen Nutzer eine speziell formatierte Publisher-Datei zukommen lassen, der Nutzer muss diese anschließend noch öffnen.

Die Sicherheitslücke betrifft nur Office 2007, frühere Versionen enthalten die Schwachstelle nicht.

MS07-037: Code-Ausführung über Publisher
Datum	11.07.2007
Warnstufe	Wichtig
Betrifft	Office 2007
Auswirkung	Ausführen beliebigen Codes
Workaround	siehe Security-Bulletin
Updates	siehe Security-Bulletin
CVE	CVE-2007-1754

MS07-041: Code-Ausführung über den IIS

Der Microsoft Internet Information Service enthält eine Schwachstelle, über die beliebiger Code ausgeführt werden kann. Dazu muss der Angreifer eine speziell formatierte URL an eine Website schicken, die auf einem IIS 5.1 unter Windows XP Professional SP 2 gehostet wird. Ist der Angreifer erfolgreich, kann er die komplette Kontrolle über das System übernehmen.

Die Schwachstelle betrifft lediglich die 32-Bit-Versionen von Windows XP mit Service Pack 2.

Code-Ausführung über IIS 5.1
Datum	11.07.2007
Warnstufe	Wichtig
Betrifft	Windows XP Professional Service Pack 2
Auswirkung	Ausführen beliebigen Codes
Workaround	siehe Security-Bulletin
Updates	siehe Security-Bulletin
CVE	CVE-2005-4360

MS07-38: Schwachstelle in der Vista Firewall

Die Firewall von Windows Vista enthält eine Schwachstelle, über die Angreifer an sensitive Informationen gelangen können. Betroffen sind sowohl die 32-Bit- als auch die 64-Bit-Versionen von Windows Vista.

MS07-38: Vista Firewall enthüllt sensitive Informationen
Datum	11.07.2007
Warnstufe	Moderat
Betrifft	Windows Vista
Auswirkung	Enthüllung sensitiver Informationen
Workaround	siehe Security-Bulletin
Updates	siehe Security-Bulletin
CVE	CVE-2007-3038