Patch Day Teil 2: Drei Sicherheitsupdates für Windows & Office
Im Vergleich zu den hitzigen Vormonaten hat Microsoft zum Patch-Day im September "nur" drei neue Sicherheitsupdates veröffentlicht. Zwei davon betreffen auch Windows XP mit SP2. Für Office ist ein Sicherheitsupdate erschienen, das eine als kritisch eingestufte Sicherheitslücke stopft.
Microsoft hat wie vorab angekündigt zum Patch-Day im September insgesamt drei Sicherheitsupdates veröffentlicht.Zwei der Sicherheitsupdates betreffen auch Windows XP mit installiertem Service Pack 2 oder Service Pack 1. Zur Erinnerung: Es handelt sich um den vorletzten Patch-Day überhaupt, bei dem Microsoft auch Sicherheitsupdates für Windows XP mit SP 1 ausliefert.
Wir geben Ihnen wie gewohnt an dieser Stelle einen Überblick über die veröffentlichten Sicherheitsupdates:
MS06-052
Sicherheitsanfälligkeit in Pragmatic General Multicast (PGM) kann Remotecodeausführung ermöglichen (KB 919007)
Schwergrad: Hoch
Betroffene Betriebssysteme: Windows XP SP1/SP2
Es besteht eine Sicherheitsanfälligkeit, die laut Microsoft zu einer Remotecodeausführung führen kann. Dies kann es einem Angreifer ermöglichen, eine speziell gestaltete Multicast-Nachricht an ein betroffenes System zu senden und Code auf dem betroffenen System auszuführen. Der erforderliche Windows-Dienst (MSMQ, Microsoft Message Queuing), der die PGM-Kommunikationen ermöglichen würde, ist aber standardmäßig nicht installiert.
Sicherheitsanfälligkeit in Pragmatic General Multicast (PGM) kann Remotecodeausführung ermöglichen (KB 919007)
Schwergrad: Hoch
Betroffene Betriebssysteme: Windows XP SP1/SP2
Es besteht eine Sicherheitsanfälligkeit, die laut Microsoft zu einer Remotecodeausführung führen kann. Dies kann es einem Angreifer ermöglichen, eine speziell gestaltete Multicast-Nachricht an ein betroffenes System zu senden und Code auf dem betroffenen System auszuführen. Der erforderliche Windows-Dienst (MSMQ, Microsoft Message Queuing), der die PGM-Kommunikationen ermöglichen würde, ist aber standardmäßig nicht installiert.
MS06-053
Sicherheitsanfälligkeit im Indexdienst kann siteübergreifende Skripterstellung ermöglichen (KB 920685)
Schweregrad: Mittel
Betroffene Betriebssysteme: Windows 2000 SP4, XP SP1/SP2, XP x64, Server 2003, Server 2003 x64
Die von einer Privatperson entdeckte Sicherheitslücke steckt im Indexdienst und könnte es einem Angreifer erlauben, über clientseitige Skripts mit den Rechten des Benutzers auszuführen. Das Skript könnte Inhalte vortäuschen, Informationen offen legen oder Aktionen ausführen, die ein Benutzer auf der betroffenen Website vornehmen kann. Der niedrige Schweregrad ergibt sich daraus, dass der IIS (Internet Information Services) unter Windows XP/Server 2003 nicht standardmäßig installiert ist und unter Windows Server 2003 der Indexdienst standardmäßig deaktiviert ist.
Sicherheitsanfälligkeit im Indexdienst kann siteübergreifende Skripterstellung ermöglichen (KB 920685)
Schweregrad: Mittel
Betroffene Betriebssysteme: Windows 2000 SP4, XP SP1/SP2, XP x64, Server 2003, Server 2003 x64
Die von einer Privatperson entdeckte Sicherheitslücke steckt im Indexdienst und könnte es einem Angreifer erlauben, über clientseitige Skripts mit den Rechten des Benutzers auszuführen. Das Skript könnte Inhalte vortäuschen, Informationen offen legen oder Aktionen ausführen, die ein Benutzer auf der betroffenen Website vornehmen kann. Der niedrige Schweregrad ergibt sich daraus, dass der IIS (Internet Information Services) unter Windows XP/Server 2003 nicht standardmäßig installiert ist und unter Windows Server 2003 der Indexdienst standardmäßig deaktiviert ist.
MS06-054
Sicherheitsanfälligkeit in Microsoft Publisher kann Remotecodeausführung ermöglichen (KB 910729)
Schweregrad: Kritisch
Betroffene Software: Office 2000 (Publisher 2000), Office XP (Publisher XP), office 2003 (Publisher 2003)
Eine Sicherheitsanfälligkeit in Publisher kann die Codeausführung von Remotestandorten aus ermöglichen. Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, wenn Publisher eine Datei mit ungültiger Zeichenfolge analysiert. Der Angreifer könnte anschließend die vollständige Kontrolle über das angegriffene System übernehmen.
Sicherheitsanfälligkeit in Microsoft Publisher kann Remotecodeausführung ermöglichen (KB 910729)
Schweregrad: Kritisch
Betroffene Software: Office 2000 (Publisher 2000), Office XP (Publisher XP), office 2003 (Publisher 2003)
Eine Sicherheitsanfälligkeit in Publisher kann die Codeausführung von Remotestandorten aus ermöglichen. Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, wenn Publisher eine Datei mit ungültiger Zeichenfolge analysiert. Der Angreifer könnte anschließend die vollständige Kontrolle über das angegriffene System übernehmen.
