Patch Day: Microsoft schließt Lücken in Windows und IE

Im Rahmen des Patch Day im Januar hat Microsoft Updates für insgesamt drei Lücken in Windows und dem Internet Explorer veröffentlicht. Zwei der Schwachstellen wurden von Microsoft mit dem Schweregrad „kritisch“ angegeben, eine mit „hoch“.

In Security Bulletin MS05-001 beschreiben die Redmonder eine Sicherheitslücke in ActiveX-Komponenten der HTML-Hilfe in Windows beziehungsweise Internet Explorer. Dadurch könnten Hacker beliebigen Code auf einem betroffenen System ausführen. Betroffen sind sämtliche Windows-Systeme ab Version 98. Auch Windows NT Server 4.0 Service Pack 6a und Windows NT Server 4.0 Terminal Server Edition Service Pack 6 sind angreifbar, wenn der Internet Explorer 6.0 Service Pack 1 darauf installiert ist.

MS05-002 beschreibt Windows-Sicherheitslücken beim Umgang mit Cursor- und Symbolformaten. Gelingt es einem Hacker, diese auszunutzen, kann er die vollständige Kontrolle über einen PC erlangen. Betroffen sind Windows-Versionen ab 98 mit Ausnahme des XP SP2. Die beiden Lücken wurden von Microsoft als „kritisch“ eingestuft. Laut Jimmy Kuo von McAfee stehen bereits Exploits zur Verfügung.

Im dritten Security Bulletin MS05-003 veröffentlicht Microsoft Informationen über eine Schwachstelle im Indexdienst von Windows, durch die ein Hacker ebenfalls die Kontrolle über einen PC erlangen könnte. Betroffen sind Windows-Versionen ab 2000 SP3 mit Ausnahme von Windows XP SP2.

Die Patches können entweder über Windows Update oder direkt von der Microsoft-Website herunter geladen werden. Dort stehen auch weitergehende Informationen zur Verfügung.

Für einige schwere Sicherheitslücken im Internet Explorer, die bereits seit Oktober bekannt sind, steht noch immer kein Patch zur Verfügung. Da zwischenzeitlich funktionierende Exploits aufgetaucht sind, wurden diese vom Sicherheits-Unternehmen Secunia auf „extrem kritisch“ hochgestuft.