Microsoft: April-Patches flicken kritisches IE-Leck

12.04.2006
Der Redmonder Softwarekonzern veröffentlicht seine aktuellen Security-Bulletins - darunter drei kritische.

Wie bereits in der vergangenen Woche angekündigt, hat Microsoft am gestrigen "Patch Tuesday" insgesamt fünf Patches veröffentlicht, die eine Reihe, zum Teil kritischer Schwachstellen im Internet Explorer (IE) und im Windows-Betriebssystem beheben sollen. Darüber hinaus hat die Gates-Company ein als "mittel" eingestuftes Update von "Outlook Express" und einen Fix für "FrontPage"-Servererweiterungen sowie "SharePoint Team Services 2002" bekannt gegeben.

Das wohl wichtigste Sicherheits-Bulletin des Monats dürfte das Update MS06-013 sein, das neben der seit drei Wochen offenen "createTextRange-Lücke" im IE neun weitere Schwachstellen im Microsoft-Browser beseitigt. Ebenfalls in dem kumulativen Sicherheits-Bulletin enthalten ist ein Patch, der einen Patentstreit mit der Firma Eola endgültig beilegen soll und einige ActiveX-Modifikationen mit sich bringt. Denjenigen Unternehmen, die für diese Änderungen noch nicht bereit sind, bieten die Redmonder einen "Kompatibilitäts-Patch", der eine zweimonatige Übergangsfrist einräumt.

Ein weiterer Patch soll ein ebenfalls als "kritisch" eingestuftes Sicherheitsloch im Windows Explorer stopfen, das die Ausführung von Schadprogrammen von Remote-Standorten aus ermöglicht: Der Fehler liegt in der Art und Weise, wie der Explorer COM-Objekte (Component Object Model) handhabt und betrifft alle noch unterstützten Windows-Versionen.

Der dritte kritische Fix unter den April-Updates widmet sich einem Fehler, der das RDS.Dataspace-ActiveX-Controll betrifft. Dieser ermöglicht es Angreifern unter gewissen Umständen, die Kontrolle über einen Windows-Rechner zu erlangen. RDS.Dataspace ist in Microsofts Data Access Components (MDAC), einem Bestandteil des Windows-Betriebssystems, enthalten. (kf)