Außerplanmäßig
Microsoft stopft Lücken im IE und Visual Studio
Microsoft hat außerplanmäßig zwei wichtige Sicherheitsupdates veröffentlicht, mit denen Sicherheitslücken im Internet Explorer und in Visual Studio gestopft werden.
Microsoft hatte Ende letzter Woche bekannt gegeben, dass am 28./29. Juli außerplanmäßig zwei wichtige Sicherheitsupdates veröffentlicht werden. Ausnahmsweise blieb dieses Mal auch keine Zeit, den nächsten Patch-Day abzuwarten, der erst am 11. August stattfindet. Die beiden Sicherheitsupdates hat Microsoft nun veröffentlicht.
Kritisch: MS09-034 Kumulatives Sicherheitsupdate für Internet Explorer (972260)
Im Sicherheitsbulletin MS09-034 meldet Microsoft drei neu entdeckte Sicherheitslücken im Internet Explorer. Die Sicherheitslücken könnten es einem Angreifer erlauben, potentiell schädlichen Code ablaufen zu lassen, sobald der Anwender eine speziell vom Angreifer präparierte Website aufruft. Aus diesem Grund stuft Microsoft das Sicherheitsupdate auch als kritisch ein.
Betroffen sind alle Versionen des Internet Explorers ab Internet Explorer 5.01 bis hin zum Internet Explorer 8. Damit steht das Sicherheitsupdate auch für alle Windows-Versionen zur Verfügung, die Microsoft noch mit Sicherheitsupdates versorgt.
Einzige Ausnahme: Windows 7 und der dort mitgelieferte Windows Internet Explorer 8 sind von der Lücke nicht betroffen.
Betroffen sind alle Versionen des Internet Explorers ab Internet Explorer 5.01 bis hin zum Internet Explorer 8. Damit steht das Sicherheitsupdate auch für alle Windows-Versionen zur Verfügung, die Microsoft noch mit Sicherheitsupdates versorgt.
Einzige Ausnahme: Windows 7 und der dort mitgelieferte Windows Internet Explorer 8 sind von der Lücke nicht betroffen.
Mittel: MS09-035 Sicherheitsanfälligkeiten in der Visual Studio Active Template Library können Remotecodeausführung ermöglichen (969706)
Mit dem Sicherheitsupdate für das Sicherheitsbulletin MS09-035 schließt Microsoft drei Sicherheitslücken in Visual Studio, die mit "mittel" bewertet werden. Die Lücken erlauben eine Remotecodeausführung, wenn der Anwender eine Komponente oder ein Control lädt, das mit einer anfälligen Version von ATL (Active Template Library) gebaut wurde.
Betroffen sind folgende Versionen von Visual Studio: Visual Studio .Net 2003 SP1, Visual Studio 2005 SP1, Visual Studio 2008 (SP1), Visual Studio C++ 2005 (SP1), Visual Studio C++ 2008 (SP1).
Microsoft empfiehlt dringend allen Entwicklern, die Komponenten oder Controls mit ATL gebaut haben, das Update zu installieren und die betreffenden Komponenten und Controls neu zu kompilieren. Genauere Details zur Vorgehensweise finden Entwickler in diesem MSDN-Artikel.
Unsere Empfehlung:
Wenn Microsoft außerplanmäßig Updates bringt, dann hat das einen guten Grund. Vermutlich werden die jetzt geschlossenen Lücken in Kürze auf der Sicherheitskonferenz Black Hat (29. - 30. Juli) publik gemacht und es drohen anschließend Angriffe, die auf diese Lücken abzielen. Aus diesem Grund sollten Sie unbedingt Windows Update nutzen, um das bzw. die Sicherheitsupdate(s) zu installieren.
Wenn Microsoft außerplanmäßig Updates bringt, dann hat das einen guten Grund. Vermutlich werden die jetzt geschlossenen Lücken in Kürze auf der Sicherheitskonferenz Black Hat (29. - 30. Juli) publik gemacht und es drohen anschließend Angriffe, die auf diese Lücken abzielen. Aus diesem Grund sollten Sie unbedingt Windows Update nutzen, um das bzw. die Sicherheitsupdate(s) zu installieren.
