Categories: Sicherheit

Microsofts Mai-Patchday schließt sechs Sicherheitslücken

Mit dem Mai-Patchday hat Microsoft vier Sicherheitsupdates veröffentlicht, die vier kritische und zwei mittelschwere Lücken schließen. Betroffen sind Microsoft Office, die Jet Database Engine und die Sicherheitsprodukte Forefront, Live OneCare, Antigen und Windows Defender.

Die Updates MS08-026 und MS08-027 behandeln zwei Fehler in Word und einen Fehler in Publisher. Die als kritisch eingestuften Updates betreffen die Office-Produkte in allen unterstützten Versionen. Ein Angreifer kann über manipulierte Rich-Text-Format-Dateien (RTF) beliebigen Schadcode auf einem Rechner ausführen. Dafür muss eine RTF-Datei in Word geöffnet oder eine RTF-formatierte E-Mail in der Vorschau eines E-Mail-Programms angezeigt werden. Bei Word-Dokumenten tritt der Fehler im Zusammenhang mit manipulierten Cascading Style Sheets (CSS) auf. Ein Angreifer, der die Publisher-Lücke ausnutzen will, muss dafür den Header einer Publisher-Datei verändern.

Der kritische Fehler in der Microsoft Jet 4.0 Database Engine wird durch das Update MS08-028 behoben. Die Schwachstelle tritt in Windows-Versionen auf, die eine frühere Version als 4.0.9505.0 der Datei „Msjet40.dll“ enthalten. Dazu behören Windows 2000 SP4, Windows XP SP2 und Windows Server 2003 SP1. Hier kann ein Angreifer über spezielle Datenbankabfragen auf Windows-Anwendungen einen Pufferüberlauf provozieren, der die Kontrolle über ein ungepatchtes System mit den Rechten des angemeldeten Benutzers ermöglicht.

Die Schwachstelle MS08-029 beschreibt zwei Fehler in der Microsoft Malware Protection Engine, die in den Sicherheitsprodukten Live OneCare, Antigen für Exchange und SMTP Gateway, Windows Defender und Forefront für Clients, Exchange und Sharepoint auftreten. In beiden Fällen können manipulierte Dateien, die von der Malware Protection Engine verarbeitet werden, zu einem Denial of Service und einem automatischen Neustart des Rechners führen.

Alle Updates stehen zusammen mit der neuesten Ausgabe des Malicious Software Removal Tool (MSRT) über den automatischen Update-Service und die Microsoft-Update-Website zur Verfügung. Aufgrund der kritischen Einstufung der Sicherheitslücken rät Microsoft seinen Kunden, die Updates zeitnah zu installieren.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago