Patch Day Juli 2004: Zahlreiche kritische Lücken

Gleich vier hoch kritische Sicherheitslücken stopft Microsoft am Juli-Patch-Day. Alle ermöglichen externen Angreifern vollen Systemzugriff. Drei weitere Updates beseitigen lokale Schwachstellen und ein ärgerliches Loch.

Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste kritischer Bugs samt zugehörigen Fixes. Durch diesen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.

Die aktuellen Security Bulletins MS04-021 bis MS04-024 behandeln gravierende Sicherheitslücken im Internet Information Server 4.0, im Task Scheduler, in den Windows-Hilfe-Funktionen sowie in der Shell-API. Besonders die beiden letzten erfordern Ihre Aufmerksamkeit: Über diese bereits seit Januar bekannten Lücken, die sich via Internet Explorer ausnutzen lassen, haben bereits zahllose Attacken stattgefunden.

Weniger dramatisch wirken sich die in den Bulletins MS04-019 und MS04-020 beschriebenen Sicherheitslücken aus, auch wenn Microsoft sie als "hoch kritisch" einstuft. Bei beiden handelt es sich um Möglichkeiten zur Rechteausweitung, die nur lokale und als Benutzer angemeldete Angreifer nutzen können.

Das Security Bulletin MS04-018 schließlich beschäftigt sich mit einem ärgerlichen Fehler in Outlook Express, über den sich mittels entsprechend präparierter E-Mails das Programm bereits beim Start zum Absturz bringen lässt.

Auf den folgenden Seiten finden Sie zu jedem Bug einen Link zum Update/Patch von Microsoft, der das Problem fixen sollte. Möchten Sie den Patch aber erst noch evaluieren, können Sie sich meist auch mit dem angegebenen Work-around behelfen. Aufschlussreich sind die Links zu CVE (Common Vulnerabilities and Exposures). Das dort bei "Assigned" angegebene Datum zeigt, dass etliche der Lücken bereits seit Monaten bekannt sind. Allzu lange sollten Sie sich daher mit dem Einspielen der Patches nicht mehr Zeit lassen.