Microsoft Patch Day: Elf Updates im August

Vor allem Office-Anwender müssen diesen Monat eine Reihe von Patches herunterladen. Fünf der Bulletins betreffen die Office-Suite. Der Internet Explorer selbst hat zwar nur eine Meldung zu verzeichnen, er zeichnet aber dafür verantwortlich, dass sich zwei andere Lücken überhaupt ausnutzen lassen.

Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.

MS08-041: Code-Ausführung über Snapshot-ActiveX

Der Snapshot-Viewer erlaubt es dem Benutzer, Berichte aus Access-Datenbanken anzuschauen, ohne selbst Microsoft Access installiert zu haben. Da das Tool als ActiveX-Komponente erstellt ist, lässt es sich auch im Internet Explorer aufrufen.

Durch einen Fehler bei der Synchronisierung kann es beim Speichern von Dateien durch das ActiveX zur Ausführung beliebigen Codes mit den Rechten des gerade angemeldeten Benutzers kommen. Um den Fehler auszunutzen, muss der Angreifer das Opfer lediglich dazu bringen, eine speziell präparierte Web-Seite mit dem Internet Explorer zu besuchen.