96106

Diese Microsoft-Patches fehlen noch

22.12.2006 | 08:28 Uhr |

Das Jahr ist fast vorüber, der letzte Patch Day vorbei und noch längst nicht alle bekannten Sicherheitslücken in Windows sind gestopft. Die erste Update-Welle 2007 ist also vorhersehbar.

Das Internet Storm Center (ISC) hat diejenigen Sicherheitslücken zusammengestellt , für die bereits Exploits kursieren und die noch nicht mit einem Patch geschlossen werden können. Das ISC kommt bei seiner Aufzählung auf insgesamt zehn offene Schwachstellen.

Fünf dieser Sicherheitslücken werden vom ISC als weniger problematisch eingestuft:

Bereits seit Juli bekannt ist ein Speicherfehler im Server-Dienst, der möglicherweise das Einschleusen von Code erlaubt. Ein Demo-Exploit ist bereits veröffentlicht worden.

Seit Oktober wartet Powerpoint 2003 auf ein Update, das eine mit präparierten PPT-Dateien ausnutzbare Anfälligkeit beseitigen würde. Microsoft hat am 10. November verlautbart, das Einschleusen von Code sei darüber nicht möglich, eine Fehlerkorrektur sei fertig entwickelt.

Ebenso lange bekannt ist eine DoS-Anfälligkeit in der Systembibliothek "ipnathlp.dll", die zu den Microsoft NAT-Hilfskomponenten gehört. Sie wird bei der Internet-Verbindungsfreigabe benötigt und ist aus dem lokalen Netz angreifbar.

Im Oktober wurde auch eine über den Internet Explorer angreifbare Schwachstelle in der ActiveX-Komponente "ADODB.Connection" bekannt, weil Exploit-Code für diese Lücke veröffentlicht wurde.

Etliche veröffentlichte Exploits gibt es bereits für eine seit Mitte November bekannte RPC-Schwachstelle in Windows 2000. Betroffen ist der Dienst Universal Plug&Play sowie der Drucker-Spooler.

Vom ISC je nach Einsatzzweck des Rechners als kritisch oder wichtig eingestuft sind drei im Dezember bekannt gewordene Sicherheitslücken in Microsoft Word, die das Einschleusen von Code mit Hilfe präparierter Dokumente erlauben ( wir berichteten ).

Noch nicht einer Gefahrenstufe zugeordnet hat das ISC einige Sicherheitslücken in Microsoft Office 2004 für Mac, die allerdings nach Ankündigung von Microsoft noch in diesem Jahr mit einem Update geschlossen werden sollen ( wir berichteten ).

Auch ein Mitte Dezember veröffentlichter Exploit für Windows XP, Server 2003 und Vista, der über einen Message-Box-Aufruf zum Absturz führt, ist noch nicht abschließend bewertet. Es ist noch unklar, welche Angriffsmöglichkeiten er tatsächlich eröffnet.

Wir sind gespannt, ob wir nach dem ersten Patch Day im neuen Jahr über die Beseitung wenigstens einiger dieser Schwachstellen berichten können.

0 Kommentare zu diesem Artikel
96106