Die allmonatliche Patch-Runde von Microsoft bringt im Mai sieben Security Bulletins, die alle mit der höchsten Alarmstufe bewertet wurden. Über „kritische“ Sicherheitslücken kann ein Angreifer typischerweise die volle Kontrolle über einen Computer erlangen, ohne dass das Opfer dazu beigetragen hat. Die Fixes stehen ab sofort zum Download bereit.
Bulletin MS07_027 soll sechs Fehler im Internet Explorer ab Version 5.01 korrigieren, die durch manipulierte Websites ausgenutzt werden könnten. Drei Microsoft-Updates beschäftigen sich mit Lücken in Office-Anwendungen, darunter auch Programme in Office 2007. Die meisten Bugs beträfen Fehler bei der Behandlung von Dateitypen, die Hacker durch manipulierte Dateien ausnutzen könnten, so Microsoft.
Exchange enthalte eine Sicherheitslücke, durch die ein Angreifer ohne das Zutun des Opfers die volle Kontrolle über einen Computer mit dem E-Mail-Server erlangen könne. Insgesamt gibt es laut Microsoft vier Lücken in mehreren Exchange-Versionen, darunter auch Exchange 2007, die im Bulletin MS07_026 behoben seien. Ein weiterer Fehler befindet sich laut Security Bulletin MS07-028 in der Kryptografie-Schnittstelle „Capicom“.
Mit dem Mai-Patchday werden Microsoft zufolge auch drei Zero-Day-Sicherheitslücken beseitigt. Unter den Fixes ist zudem ein lange erwarteter Patch für einen Fehler im Windows Domain Name System (DNS). Die Sicherheitslücke betrifft Windows 2000 und Windows Server 2003.
Microsoft hatte bereits im vergangenen Monat vor dem Fehler gewarnt und darauf hingewiesen, dass er für „begrenzte Angriffe“ genutzt werde. Die übrigen Zero-Day-Lücken, für die es nun Fixes gibt, betreffen den Internet Explorer und Word. Der Word-Fehler sei bereits bei einigen Angriffen ausgenutzt worden.
Dass einige der aktuell gemeldeten „kritischen“ Fehler in den neuen Produkten Internet Explorer 7, Office 2007 und Exchange 2007 entdeckt wurden, wirft laut Amol Sarwate, Manager des Vulnerability Research Lab bei Qualys, ein trübes Licht auf die Sicherheitsversprechungen von Microsoft. Das Unternehmen hatte diese Software als sicher angepriesen und auf seine sicherheitsorientierten Entwicklungsverfahren verwiesen. „Microsofts 2007-Programme, Exchange und Office eingerechnet, erscheinen weiter mit Sicherheitslücken. Das zeigt, dass der Security Development Lifecycle von Microsoft wohl nicht unfehlbar ist“, sagte Sarwate.
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…
Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…
Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.
Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…