Patchday: Microsoft stopft Lecks in Outlook und Windows-Hilfe

Etwa einen Monat nach Entdeckung hat Microsoft das Leck in der Windows-Hilfe gestopft. Unter Windows XP und Windows Server 2003 konnte ein Angreifer durch manipulierte HCP-URLs (hcp://), über die normalerweise Hilfe-Dokumente geladen werden, beliebige Programme herunterladen und ausführen.

Bei dem anderen Windows-Leck handelt es sich um einen Integer Overflow im Canonical Display Driver (cdd.dll) unter Windows 7 und Windows Server 2008 R2. Betroffen sind nur die 64-Bit-Versionen und dies auch nur, wenn die Aero-Oberfläche von Windows genutzt wird, die beim Windows Server standardmäßig nicht installiert ist.

In Access 2003 und 2007 gibt es Probleme mit ActiveX-Controls in den Microsoft Access Wizard Controls (ACCWIZ.dll), wodurch beim Öffnen manipulierter Dateien Code ausgeführt werden kann. Outlook XP, 2003 und 2007 lassen sich zudem mit speziell gestalteten Mails mit Dateianhang Code unterschieben – dieses Update stuft Microsoft als einziges als important und nicht als critical ein, gibt ihm jedoch die Deployment Priority 1. (Daniel Dubsky)