73572

Patch Day Teil 2: Drei Sicherheitsupdates erschienen

09.05.2006 | 20:30 Uhr |

Microsoft hat wie vorab angekündigt zum Patch-Day im Mai zwei kritische Sicherheitsupdates veröffentlicht. Zusätzlich wurde ein Update veröffentlicht, dass eine als "moderat" eingestufte Lücke schließt.

Insgesamt drei Sicherheitsupdates hat Microsoft anlässlich des Patch-Days im Mai veröffentlich. Eine der geschlossenen Lücken betrifft auch Windows XP mit installiertem Service Pack 2. Sie wird von den Redmondern als "kritisch" eingestuft, so dass die sofortige Installation der Sicherheitsupdates zu empfehlen ist. Die Lücke steckt allerdings nicht direkt in Windows, sondern im darauf installierten Flash Player.

Die Sicherheitsupdates im Überblick:

MS06-20
Sicherheitsanfälligkeiten in Macromedia Flash Player von Adobe können die Codeausführung von Remotestandorten aus ermöglichen (KB 913433)
Schweregrad: kritisch
Betroffene Systeme: Windows XP SP1, Windows XP SP2, Windows 9x, ME

Ein Angreifer könnte eine Sicherheitsanfälligkeit in Flash ausnutzen, um die vollständige Kontrolle über ein betroffenes System zu erlangen.

Microsoft stellt das Update nur für XP-Anwender zum Download bereit. Das ist in diesem Falle aber halb so schlimm, denn die Lücke steckt in Adobes Flash und ist schon seit längerem bekannt, wie ein Blick in dieses Security Bulletin von Adobe zeigt. Im Grunde genügt es, die aktuelle Version des Flash Player zu installieren, um vor der Lücke sicher zu sein. Die aktuelle Flash-Version ist für alle Windows-Betriebssysteme verfügbar.

Microsoft veröffentlicht das Sicherheitsupdate nur, weil bei den besagten Windows-Versionen Flash standardmäßig in älteren Versionen mitgeliefert wurde, in denen die Lücke steckt. Bei Windows 2000 und Server 2003 war/ist dagegen Flash Player nicht standardmäßig enthalten. Diese Anwender sollten ihre Flash-Version überprüfen und gegebenenfalls die aktuelle Flash-Player-Version installieren.

Download: Flash Player (aktuelle Version)

Download: MS06-020

MS06-19
Sicherheitsanfälligkeit in Microsoft Exchange kann Codeausführung von Remotestandorten aus ermöglichen (KB 916803)
Schweregrad: kritisch
B etroffene Systeme: Microsoft Exchange Server 2000, 2003 (SP 1/SP 2)
Angreifer könnten die Lücke ausnutzen, um die vollständige Kontrolle über ein System zu übernehmen. Dies könnte der Angreifer beispielsweise dadurch erreichen, dass er eine Mail an den Exchange Server mit bestimmten vCal- oder iCal-Eigenschaften sendet und dort verarbeiten lässt.

Download: MS06-019

MS06-18
Sicherheitsanfälligkeit in Microsoft Distributed Transaction Coordinator kann zu einem DoS-Angriff (Denial-of-Service) führen (913580)
Schweregrad: mittel
Betroffene Systeme: Windows 2000 (SP 4), Windows XP (SP 1/SP 2), Server 2003

Mit dem Update werden gleich zwei Sicherheitslücken geschlossen, die Angreifern eine DoS-Attacke erlauben würden. Nur unter Windows 2000 beträgt der Schweregrad "mittel". Bei den anderen Betriebssystemen wird die Gefahr als "gering" eingestuft.

Angreifer könnten die Lücke ausnutzen, indem sie eine speziell präparierte Netzwerknachricht an die ungeschützten Systeme senden. Das würde dazu führen, dass der Microsoft Distributed Transaction Coordinator (MSDTC) nicht mehr reagiert und keine Anforderungen mehr annimmt.

Der MSDTC wird auf Systemen mittels Microsoft Personal Web Server oder Microsoft SQL Server geladen und läuft im Hintergrund. Der Dienst kontrolliert die zwischen verschiedenen Server erfolgenden Transaktionen.

Download: MS06-18

Alle Updates erhalten Sie wie gewohnt über den jeweils angegebenen Download-Link. Alternativ und bequemer: Nutzen Sie Windows Update.

Patch-Day Teil 1: Microsofts Anti-Malware-Tool in neuer Version (PC-WELT, 09.05.2006)

0 Kommentare zu diesem Artikel
73572