Kritische Lecks in Windows und Office

Wie angekündigt bringt der Patch Day dieses Mal elf Updates, von denen Microsoft immerhin vier als kritisch einstuft. Eines der betroffenen Programme ist Excel, das beim Prüfen von Formeln sowie Dateiformaten und VBA-Daten im Cache schlampt und es dadurch erlaubt, durch das Öffnen einer manipulierten Excel-Datei das System zu kompromittieren. Dazu gibt es ein Sammelupdate für den Internet Explorer, der gleich mit sechs Schwachstellen auffällig wird, durch die ein Angreifer Code einschleusen oder Informationen entwenden kann.

Eine kritische Schwachstelle ist auch in Active Directory zu finden, allerdings nur unter Windows 2000. Hier kommt es zu einer falschen Speicherzuordnung bei LDAP-Anfragen. Das letzt als kritisch eingestufte Leck betrifft den Host Integration Server, bei dem sich spezielle RPC-Aufrufe die Authentifizierung umgehen lässt.

Die Sicherheitseinstufung hoch tragen sechs der veröffentlichten Patches. Sie stopfen unter anderem Lecks im Windows Kernel, im Internet Printing Protocol und im für die Dateifreigaben über Netzwerke verwendeten Protokoll SMB.

Ein als mittelschwer eingestufter Fehler taucht zudem bei Office XP auf und sorgt dafür, dass in bestimmten Fällen Dokumente im Browser angezeigt und nicht heruntergeladen werden, was ein Angreifer für Cross-Site-Scriptings nutzen kann.

Alle Updates von Microsoft in der Übersicht.

(Daniel Dubsky)