Microsoft stopft am Patch Day zwei Löcher

Microsoft hat am Patch Day im November zwei Security-Bulletins veröffentlicht, die eine URL-Sicherheitslücke sowie ein Problem mit dem Windows-DNS-Server beheben. Das URL-Problem stufen die Redmonder als kritisch ein.

Angreifern war es durch das URL-Sicherheitsloch möglich, beliebige Programme auszuführen. Neben Browsern wie dem Internet Explorer ist, wie kürzlich bekannt wurde, auch Microsoft Outlook von dem Problem betroffen. Dies ermöglicht ein Fehler in der Systemdatei shell32.dll: Programme lassen sich über präparierte URLs ausführen. So kann ein Angreifer schädliche Software beispielsweise mittels PDF-Dateien auf Fremdrechnern installieren.

Ein Beispiel für eine solche URL lautet:

http:%xx../../../../../../../../../windows/system32/dxdiag.exe

Betroffen sind Systeme mit Internet Explorer 7 und den Windows-Versionen XP SP2, XP 64 Bit und Server 2003. Das Sicherheitsupdate MS07-061 behebt die erwähnten Probleme mit der Datei shell32.dll. Vor der Installation des Security-Bulletins MS07-061 sollte der inoffizielle Patch für dieses Problem, falls installiert, wieder entfernt werden.

Das zweite Sicherheitsloch war von Microsoft mit der Gefahrenstufe wichtig bewertet worden. Es betrifft einen Fehler im Windows-DNS-Server, der unter Windows Server 2003 auftritt. Angreifern war es möglich, Transaktions-IDs zu erraten und gefälschte DNS-Antworten an den Server zu senden. Der Patch MS07-062 behebt diesen Fehler.