Microsoft stopft 11 teils kritische Sicherheitslücken

Microsoft hat zum gestrigen Patch-Day verschiedene Updates veröffentlicht, die insgesamt elf Sicherheitslücken schließen. Unter anderem der Internet Explorer und DirectX sind von kritischen Schwachstellen betroffen.

Zu den kritischen Fehlern gehören Lücken im Internet Explorer ab Version 5.01. Die Methoden substringData sowie setRequestHandler erlauben Angreifern, beliebige Befehle mit den Rechten eines Nutzers auszuführen. Weiterhin besteht die Gefahr der Manipulation von Proxy-Caches sowie die Möglichkeit, an vertrauliche Daten des Benutzers zu gelangen, die beispielsweise in Cookies abgelegt werden. Weitere Informationen über die betroffenen Betriebssysteme sowie Versionen des Internet Explorer gibt Microsoft im Security Bulletin MS-80-031 bekannt.

Neben den Schwachstellen im Internet Explorer werden auch Lücken in DirectX geschlossen. Betroffen sind der MJPEG-Decoder sowie der Parser für Dateien im SAMI-Format (Synchronized Accessible Media Interchange). Die Lücke im MJPEG-Decoder ermöglicht es Angreifern unter Umständen, durch manipulierte Datenströme in AVI- oder ASF-Dateien beliebigen Code mit den Rechten des Benutzers auszuführen. Diese Lücke ist besonders brisant, da Anwender lediglich eine Webseite mit eingebettetem, manipulierten Video-Stream aufrufen müssen, um angreifbar zu sein.

Gleiches gilt für den Direct-Parser für SAMI-Dateien. Der Video-Stream muss nur zusammen mit einer entsprechend aufgebauten .sami oder .sma Datei eingebettet werden, um möglichen Schadcode ausführen zu können. Betroffen sind die DirectX-Versionen 7, 8.1, 9.0, 9.0b, 9.0c und 10. Eine exakte Übersicht bietet Microsofts Security Bulletin MS-80-033

Alle Patches werden per Microsoft-Update ausgeliefert oder können optional über das Download Center der Redmonder heruntergeladen werden. Eine Auflistung der aktuellen Security Bulletins finden sich im Microsoft Security Bulletin Summary für Juni 2008.