Microsoft stopft Sicherheitslücken in Windows und Internet Explorer

Dem Internet Explorer in den Version 5, 6 und 7 spendiert Microsoft ein Sammelupdate, das zwei kritische Lecks schließt. So hatte der Browser Probleme bei einigen Methodenaufrufen zu HTML-Objekten, wodurch beim Ansurfen entsprechend manipulierter Webseiten beliebiger Code auf das System geladen und ausgeführt werden konnte. Zudem ließ sich der Browser durch bestimmte Header-Daten verwirren, wodurch Webseiten Informationen aus anderen Domänen lesen konnten.

Die weiteren Lecks, denen sich Microsoft zum Juni-Patchday gewidmet hat, betreffen allesamt Windows selbst. In Office und anderen Anwendungen wurden dieses Mal keine Lecks gestopft.

Als kritisch eingestuft werden ein Fehler im Bluetooth-Stack von Windows und zwei Fehler in DirectX. Bei letzterem werden Parameter in der SAMI-Dateien, über die beispielsweise Untertitel eingeblendet werden können, nicht ausreichend geprüft, und MJPEG-Videostreams, die in ASF- und AVI-Dateien eingebettet sind, nicht ausreichend analysiert. In beiden Fällen kann ein Angreifer dies ausnutzen, um das System zu kompromittieren.

Darüber hinaus behebt Microsoft einen Fehler in WINS, durch den sich ein Nutzer höhere Rechte erschleichen kann. Sowohl die Active-Directory-Services als auch das PGM-Protokoll (Pragmatic General Multicast) sind anfällig für DoS-Angriffe und können durch manipulierte Datenpakete lahm gelegt werden.

Zu guter Letzt deaktiviert Microsoft auch wieder einige ActiveX-Controls. So wird etwa das Kill Bit für die Sprach-API gesetzt, um zu verhindern, dass über Webseiten im Internet Explorer Audiofiles abgespielt werden, die dann als Sprachbefehler erkannt werden. (Daniel Dubsky)