Kritische Windows-Updates verfügbar

An Ad

Integrate business news on your website free of charge and offer your visitors up-to-date content! Click here for more information.

Pünktlich zum gestrigen Januar-Patchday hat Microsoft insgesamt drei kritische Sicherheitsupdates veröffentlicht.

Zwei der Patches betreffen die Betriebssysteme Windows 2000, Windows XP, sowie Windows Server 2003. Das dritte Update betrifft Outlook sowie Office 2000-2003 und Microsoft Exchange.

Enthalten ist auch das bereits am letzen Donnerstag vorab veröffentlichte Security Bulletin MS06-001, welches Sicherheitslücken im Zusammenhang mit der Verarbeitung von WMF Dateien schließt. Nach heise.de Angaben handelt es sich bei der WMF Technologie um ein überholtes, 16 Jahre altes Dateiformat, das unter bestimmten Umständen die Ausführung von Schadcode erlaubt.

In diesem Zusammenhang warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor "Kriminelle[n] Attacken über die Schwachstelle in Windows ... Nach Erkenntnissen des BSI wird die kürzlich ausgemachte Sicherheitslücke im Microsoft Betriebssystem Windows mittlerweile aktiv zur Verbreitung von Schadsoftware genutzt." Über 200 verschiedene, bösartige WMF-Dateien seien bereits bekannt und täglich erschienen neue, schreibt heise.de. Der eingespielte Patch scheint jedoch die Probleme nicht vollends zu lösen, denn weitere WMF Schwachstellen sind mittlerweile bekannt geworden.

Für ältere Windows Betriebssysteme (Win98, Windows Me) wird von Microsoft zur Zeit kein Update im Rahmen des monatlichen Sicherheitszyklus angeboten. Das BSI weist jedoch darauf hin, dass die verwundbare Softwarekomponente auch in den oben genannten Betriebssystem-Versionen vorhanden sei.

Ein weiterer Patch soll einen Fehler in der Webseitenverarbeitung schließen, der durch in Webseiten eingebettete präparierte Zeichensätze (Webfonts) zum Einschmuggeln und Ausführen von Schadcode missbraucht werden könne. Nach Microsoftangaben können Angreifer über das Einbetten von manipulierten Webfonts in Webseiten oder in E-Mails die vollständige Kontrolle über das System übernehmen. Wie heise.de schreibt, wurde dieser Fehler bereits im Juli 2005 gemeldet, jedoch erst jetzt behoben.

Alle drei Januarpatches werden von Microsoft selbst als kritisch eingestuft, was die potenzielle Gefährdung ungepatchter System untermauert. Ein möglichst schnelles Einspielen der neuesten Sicherheitsupdates wird daher dringen empfohlen.

Quellen: Bundesamt für Sicherheit in der Informationstechnik, heise.de

Sicherheitsupdates manuell laden: Microsoft Bulletin Januar 2006