Security-Rundumschlag für Internet Explorer

Microsoft liefert am Patchday zwölf Sicherheitsupdates

09.12.2009 | Redakteur: Stephan Augsten

Ein Sicherheitsupdate beseitigt im Dezember 2009 gleich fünf Schwachstellen im Internet Explorer.
Ein Sicherheitsupdate beseitigt im Dezember 2009 gleich fünf Schwachstellen im Internet Explorer.

An seinem letzten Patchday 2009 wartet Microsoft mit einem umfassenden Sicherheitsupdate für den Internet Explorer auf, das eine Zero-Day-Schwachstelle und andere Fehler im Browser behebt. Über alle Produkte hinweg behebt Microsoft ein Dutzend Schwachstellen, neben dem Internet Explorer ist auch MS Office Project von einer kritischen Schwachstelle betroffen.

Drei der sieben angekündigten Security Bulletins hat Microsoft als kritisch eingestuft. Insgesamt addressiert der Software-Gigant mit den Patches zwölf Schwachstellen. Besonderes Augenmerk wurde auf den Internet Explorer (IE) gelegt, da dieser aufgrund einer ActiveX-Komponente anfällig für einen Proof-of-Concept-Schadcode ist.

Die angreifbare ActiveX Control wurde seinerzeit mit einer fehlerhaften Version der Active Template Library entwickelt. Auch andere Browser-Komponenten waren deshalb potentiell verwundbar, bevor Microsoft die ATL-Fehler im Juli mit einem Notfall-Update behob. Als weitere Sicherheitsmaßnahme kommt nun das Security-Bulleting MS09-072 ins Spiel, das mögliche Exploit Codes blocken soll.

Gleichzeitig behebt der IE-Patch vier Memory-Korruption-Schwachstellen, die aus einer fehlerhaften Initialisierung von Website-Objekten resultieren können. Microsoft stuft das Security-Update für alle Browser-Versionen einschließlich Internet Explorer 8 als kritisch ein.

Weitere Sicherheitsanfälligkeiten finden sich im Internet-Authentifizierungsdienst sämtlicher Microsoft-Betriebssysteme bis auf das neue Windows 7 und Windows Server 2008 R2. Auf vorangegangenen Server-2008-Betriebssystemen mit Service Pack (SP) 2 gilt die Schwachstelle als kritisch. Denn ein Angreifer kann aufgrund von Fehlern bei der Verarbeitung von PEAP-Authentifizierungsversuchen vollständige Kontrolle über das betroffene System erlangen.

Auch Microsoft Office Project 2002 SP1 und 2003 SP3 sind von einer kritischen Sicherheitslücke betroffen. Fehler bei der Speicherbereinigung lassen sich dahingehend ausnutzen, dass ein Angreifer mainpulierte Projekt-Dateien an sein Opfer übermitteln kann.

Die übrigen drei Security Bulletins wurden allesamt nur als wichtig eingestuft, da das Ausnutzen der Schwachstellen nur unter speziellen Umständen möglich ist. Eine der Sicherheitslücken ermöglicht einen Denial-of-Service via IPSec unter Windows 2000, XP und Server 2003. Darüber hinaus behebt Microsoft einen Spoofing-Fehler in seinen Server-Betriebssystemen, der sich allerdings nur von authentifizierten Nutzern ausnutzen lässt. Die letzte Schwachstelle findet sich im Microsoft Word Pad sowie im Office Text Converter und ermöglicht das externe Ausführen von Code.

Im Rahmen der Sicherheitsupdates wird wie an jedem Patchday auch das Tool zum Entfernen bösartiger Software aktualisiert. Weitere Informationen zu den aktuellen Schwachstellen und zugehörigen Microsoft-Patches auf der Technet-Homepage.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2042569 / Schwachstellen-Management)