Microsoft meldet sieben neue Sicherheitslücken in Windows

Softwarehersteller Microsoft meldet sieben neue Sicherheitslücken in Windows. Zwei der Schwachstellen wurden auf der Skala des Unternehmens als höchstes Bedrohungsszenario eingestuft. Darüber hinaus wurde ein Tool zur Verfügung gestellt, um Systeme von Virenbefall zu reinigen, der durch die Ausnutzung der „Download.Ject“-Lücke verursacht wurde. Betroffen sind je nach Schwachstelle Systeme ab Windows NT 4.0 SP6a bis hin zu XP und Server 2003.

An der Brisanz der Lücken lässt auch Sicherheitsspezialist Symantec keinen Zweifel: „Die jetzt bekannt gegebenen Lücken könnten aus der Ferne ausgenutzt werden. Damit werden DoS-Attacken ermöglicht, was letztendlich zum Verlust von vertraulichen Daten führen könnte. Symantec rät Anwendern dringend, die Patches für diese Lücken schnellstens zu installieren.

„Eine Sicherheitslücke, deren Ausnutzung die Ausbreitung eines Internet-Wurms ohne die Interaktion des Nutzers ermöglichen könnte“. So lautet die Definition für die höchste Gefahrenstufe in Microsofts Skala. Zwei der insgesamt sieben Lücken könnten also Auslöser einer neuen Epidemie sein.

Die erste Schwachstelle wird durch einen Buffer-Overflow im „Task Scheduler“ verursacht. Gelingt es einem Angreifer, diese Lücke zu nutzen, hat er laut Microsoft auf dem entsprechenden System dieselben Rechte wie der gerade eingeloggte Nutzer. Wird also mit Admin-Rechten im Internet gesurft, können selbst Accounts angelegt und gelöscht werden sowie Rechte verändert werden. Für einen erfolgreichen Exploit müsste ein Angreifer einen Anwender nur auf eine entsprechend präparierte Website locken.

Die zweite kritische Lücke betrifft die Komponenten „HTML Help“ und „showHelp“. Auch hier könnte ein Eindringling die Kontrolle über einen Rechner übernehmen. Vier weitere Schwachstellen stuft Microsoft mit dem zweihöchsten Rating auf seiner Skala ein. Eine der Lücken sei weniger gefährlich.

Microsofts Sicherheitsbeauftragter Mike Nash sagte in diesem Zusammenhang auf der „Worldwide Partner Conference“ in Toronto, das Unternehmen habe inzwischen eine halbe Million Kunden in Sachen Sicherheit entsprechend geschult. Zudem habe sich die Zahl der Nutzer von „Windows Update“ innerhalb der letzten zehn Monate verfünffacht.

Informationen und Patches zu den bekannt gegebenen Sicherheitslücken stellt Microsoft auf einer speziell dafür eingerichteten Website zur Verfügung. Die Patches können zudem über Windows Update heruntergeladen werden.