Patch Day August 2004: Patch nach den Patches
MS04-025 - Kumulatives Update für Internet Explorer
Aufgrund gravierender Sicherheitslücken in den Internet-Explorer-Versionen 5.01, 5.5 und 6 hat Microsoft bereits Ende Juli außer der Reihe mit dem Microsoft Security Bulletin MS04-025 ein kumulatives Update für den löchrigen Browser veröffentlicht. Es beseitigt insgesamt drei Schwachstellen.
Die erste der drei Lücken war bereits seit Anfang Juni bekannt. Aufgrund von Fehlern im Zonenmodell des Internet Explorer in Kombination mit dem Zugriff auf lokale Ressourcen über bestimmte URIs kann ein Angreifern über entsprechend präparierte Webseiten Code auf den Rechner des Opfer schieben und dort im Rechtekontext des lokalen Systems ausführen.
Die beiden weiteren Schwachstellen betreffen Angriffe über entsprechend präparierte Bilddateien der Typen BMP und GIF, über die der Angreifer beliebigen Code auf dem Rechner des Opfers ausführen kann. Ursache ist im ersten Fall ein Ganzzahl-Vorzeichenfehler, im zweiten ein Begrenzungsfehler.
Eine erfolgreiche Attacke verschafft dem Angreifer in jedem Fall vollen Systemzugriff im Sicherheitskontext des Opfers. Für Benutzer, deren Konten mit niedrigeren Systemrechten konfiguriert sind, besteht also ein geringeres Risiko als für User, die mit Administrator-Berechtigung arbeiten.
Falls Sie dieses kumulative Update bislang noch nicht eingespielt haben, sollten Sie das spätestens jetzt sofort nachholen. Eine entsprechende Update-Matrix finden Sie im Security-Bulletin.
Datum | 30.07.2004 |
|---|---|
| |
Warnstufe | hoch |
Betrifft | alle Windows-Varianten |
Auswirkung | Systemzugriff von extern |
Work-around | |
Updates | |
CVE |