Microsoft flickt kritische Sicherheitslöcher

11.01.2006
Patches für Exchange, Outlook und Windows veröffentlicht.

Die Gates-Company hat Patches für kritische Sicherheitslecks im Windows-Betriebssystem sowie Outlook und Exchange veröffentlicht. Die Schwachstellen ermöglichen es Angreifern, beliebigen Code auszuführen.

Der Windows-Bug betrifft die Art und Weise, wie das Betriebssystem embedded Web-Fonts verarbeitet. Diese werden von Web-Autoren genutzt, um sicherzustellen, dass ihre Sites wie beabsichtigt dargestellt werden. Würde ein Nutzer etwa zum Besuch einer Webseite mit einem speziell präparierten embedded Web-Font verleitet, könnte ein Angreifer das betroffene System übernehmen, warnt Microsoft.

Die zweite Schwachstelle betrifft das sowohl in Microsofts Exchange als auch Outlook verwendete Codierungsformat TNEF (Transport Neutral Encapsulation Format). Theoretisch könnten Angreifer mit Störcode versehenen E-Mails an ungepatchte Exchange-Server oder Outlook-Clients schicken und darüber die Kontrolle über die Systeme erlangen, auf denen die Messaging-Software läuft.

Da bislang noch kein Exploit-Code kursiert, werden die beiden Schwachstellen zwar als kritisch, aber als nicht ganz so riskant eingestuft wie das Security-Leck in Windows WMF (Windows Metafile Format), das Microsoft vergangene Woche geflickt hat. Nach Meinung von Sicherheitsexperten ist es jedoch lediglich eine Frage der Zeit, bis diese ausgenützt werden. Zu beachten sei insbesondere die Behebung des TNEF-Bugs, der sowohl die Server- als auch die Client-Software betreffen könne, so Alain Sergile, Produkt-Manager des X-Force-Teams bei Internet Security Systems.

Von dem Web-Font-Bug betroffen sind nach Angaben von Microsoft alle Windows-Versionen ab 98. Die TNEF-Schwachstelle wiederum sollen Outlook 2000, 2002 und 2003 sowie Exchange Server 5.0 und 5.5 und Exchange 2000 Server aufweisen. Der TNEF-Fehler betrifft auch Anwender des "Office Multilingual User Interface Packs" (MUI), des "Multilanguage Packs" or "Office 2003 Language Interface Packs (LIPS). (kf)