Microsoft schließt im September acht kritische Lücken

Microsoft hat am September-Patchday vier Sicherheitsupdates veröffentlicht, mit denen das Unternehmen acht kritische Lücken schließt. Von den Schwachstellen betroffen sind GDI+, Windows Media Encoder 9, Windows Media Player und Microsoft Office.

Mit dem Update MS08-052 behebt Microsoft fünf Fehler in GDI+, die alle unterstützten Versionen von Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 sowie den Internet Explorer 6 SP1 unter Windows 2000 SP4 betreffen. Die Schwachstelle tritt laut Microsoft auch unter SQL Server 2005 und Microsoft Report Viewer 2005 sowie 2008 auf. Mittels einer manipulierten Grafikdatei in den Formaten VML, EMF, GIF, WMF oder BMP, die mit einer der genannten Anwendungen geöffnet wird oder die in einer manipulierten Website enthalten ist, kann ein entfernter Angreifer beliebigen Code ausführen.

Die Schwachstelle im Windows Media Encoder 9 beschreibt Microsoft in der Sicherheitsmeldung MS08-053. Demnach kann ein Angreifer bei Ausnutzung der Lücke mithilfe einer präparierten Website die vollständige Kontrolle über ein ungepatchtes System übernehmen. Betroffen sind Nutzer des Media Encoder 9 unter Windows 2000, Windows XP, Windows Vista sowie Windows Server 2003 und 2008.

Mit dem Security Bulletin MS08-054 warnt Microsoft vor einer Lücke im Windows Media Player 11. Um diese Lücke auszunutzen, muss ein manipulierter Audio-Stream mit dem Media Player 11 von einem Windows Media Server abgerufen werden. Ein Angreifer erhält dadurch die Kontrolle über das System und kann mit den Rechten des angemeldeten Benutzers auf einen Rechner zugreifen.

Das vierte Update (MS08-055) schließt eine Schwachstelle in Microsoft Office One Note 2007 sowie in Office XP, Office 2003 und Office 2007. Auch hier kann ein Angreifer die Kontrolle über ein System erhalten. Dafür muss er laut Microsoft einen Nutzer dazu bewegen, eine speziell gestaltete One-Note-URL anzuklicken.