Am zweiten Dienstag im Monat schickt Microsoft regulär die Updates für seine Produkte in die Welt. Der regelmäßige Zyklus soll Administratoren und andere IT-Verantwortliche helfen, ihre Systeme auf dem aktuellsten Stand zu halten.
Nachdem es im Juni mit zwei moderaten Lücken eher ruhig war, ist diesmal deutlich mehr geboten. So beseitigen die Entwickler je eine kritische Lücke in Excel, Active Directory und dem .NET-Framework. Außerdem kümmern sie sich um zwei wichtige Fehler im Publisher und dem IIS. Und auch Vista erhält seinen Anteil von den Patchen ab: In der Firewall wurde ein moderater Fehler gefunden, der nun auch beseitigt ist.
MS07-036: Code-Ausführung über Excel
Mit dem Update werden mehrere Lücken in Excel beseitigt. Diese sind kritisch, da Angreifer mittels speziell formatierter Excel-Tabellen Zugriff auf den Rechner des Opfers erhalten und anschließend beliebigen Code ausführen konnten.
IT-Anwender sollten dieses Update so schnell wie möglich einspielen, da sämtliche Office-Pakete seit der Version 2000 betroffen sind.
Datum |
11.07.2007 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Sämtliche Office-Systeme ab 2000 |
Auswirkung |
Ausführen beliebigen Codes |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS07-039: Code-Ausführung über Active Directory
Das zweite Update beseitigt eine Sicherheitslücke im Active Directory auf Windows 2000 und Server 2003. Angreifer können die Lücke nutzen, um eine Denial-of-Service-Attacke gegen den Server zu fahren. In seltenen Fällen lässt sich auch Code auf dem Server ausführen.
Betroffen sind die Betriebssysteme:
-
Windows 2000 Server SP4
-
Windows Server 2003 SP1 und SP2
-
Windows Server 2003 x64 mit und ohne SP2
-
Windows Server 2003 Itanium SP1 und SP2
Datum |
11.07.2007 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
Windows 2000 Server, Windows Server 2003 |
Auswirkung |
Denial of Service, Ausführen beliebigen Codes |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS07-40: Code-Ausführung über das .NET-Framework
Drei verschiedene Sicherheitslücken wurden in der Entwicklungsumgebung des .NET-Frameworks gefunden. Zwei davon treten direkt in .NET auf, und erlauben das Ausführen von Code im Rechtekontext des Nutzers, der das Framework ausführt. Die dritte Lücke tritt in Zusammenhang mit ASP.NET auf und ermöglicht den Zugang zu möglicherweise sensitiven Informationen.
Betroffen sind die .NET-Frameworks vor Version 3.0. Die aktuellste Version ist laut Microsoft nicht anfällig.
Datum |
11.07.2007 |
---|---|
Warnstufe |
Kritisch |
Betrifft |
.NET-Framework 1.0 bis 2.0 |
Auswirkung |
Ausführen beliebigen Codes, Ausspähen sensitiver Informationen |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS07-037: Code-Ausführung über Microsoft Publisher
Der Publisher, Komponente des Office 2007 Paketes, enthält eine Sicherheitslücke, über die Angreifer Code im Rechtekontext des jeweiligen Nutzers ausführen können. Dazu müssen sie dem angegriffenen Nutzer eine speziell formatierte Publisher-Datei zukommen lassen, der Nutzer muss diese anschließend noch öffnen.
Die Sicherheitslücke betrifft nur Office 2007, frühere Versionen enthalten die Schwachstelle nicht.
Datum |
11.07.2007 |
---|---|
Warnstufe |
Wichtig |
Betrifft |
Office 2007 |
Auswirkung |
Ausführen beliebigen Codes |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS07-041: Code-Ausführung über den IIS
Der Microsoft Internet Information Service enthält eine Schwachstelle, über die beliebiger Code ausgeführt werden kann. Dazu muss der Angreifer eine speziell formatierte URL an eine Website schicken, die auf einem IIS 5.1 unter Windows XP Professional SP 2 gehostet wird. Ist der Angreifer erfolgreich, kann er die komplette Kontrolle über das System übernehmen.
Die Schwachstelle betrifft lediglich die 32-Bit-Versionen von Windows XP mit Service Pack 2.
Datum |
11.07.2007 |
---|---|
Warnstufe |
Wichtig |
Betrifft |
Windows XP Professional Service Pack 2 |
Auswirkung |
Ausführen beliebigen Codes |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |
MS07-38: Schwachstelle in der Vista Firewall
Die Firewall von Windows Vista enthält eine Schwachstelle, über die Angreifer an sensitive Informationen gelangen können. Betroffen sind sowohl die 32-Bit- als auch die 64-Bit-Versionen von Windows Vista.
Datum |
11.07.2007 |
---|---|
Warnstufe |
Moderat |
Betrifft |
Windows Vista |
Auswirkung |
Enthüllung sensitiver Informationen |
Workaround |
siehe Security-Bulletin |
Updates |
siehe Security-Bulletin |
CVE |