Sämtliche Bulletins stuft Microsoft als "kritisch" ein, da sie Angreifern ermöglichen, Schadcode auf einen Windows-PC zu schleusen und so die Kontrolle über das Opfersystem erlangen zu können. Experten zufolge tun IT-Administratoren gut daran, sich dem Patch-Set MS08-014 zuerst zu widmen. Es soll Fehler in der Art und Weise korrigieren, wie Microsoft Excel speziell präparierte Excel-Dateien beim Öffnen überprüft – darunter einen bereits veröffentlichten Bug, den Hacker seit rund zwei Monaten ausnutzen. "Dies ist der lang ersehnte Patch für den erstmals Mitte Januar gemeldeten Zero-day-Exploit in Excel", so Erik Schultze, Chief Technology Officer (CTO) bei Shavlik Technologies, einem Spezialisten für Patch-Management. Ausnutzen lassen sich die Sicherheitslücken, wenn ein Anwender eine manipulierte Excel-Datei öffnet. Von den mit diesem Update adressierten Schwachstellen betroffen sind laut Microsoft Excel 2000 (SP3), 2002 (SP3), 2003 (SP2), 2007, der Excel Viewer 2003 (SP3), das Microsoft Office Compatibility Pack für die Dateiformate von Word, Excel und Powerpoint 2007 sowie Office 2004 und 2008 für Mac.

Mit dem Security-Update MS08-015 wiederum behebt der Microsoft eine kritische Schwachstelle in Outlook, die ebenfalls die Ausführung von Schadcode ermöglicht. Das Problem tritt bei der Übergabe speziell gestalteter mailto-URIs (Uniform Resource Identifier) an den Mail-Client auf. Laut Microsoft kann ein Angreifer dann Programme installieren, Daten anzeigen, ändern und löschen sowie neue Konten mit sämtlichen Benutzerrechten erstellen. Von dem Fehler betroffen sind dem Bulletin zufolge Outlook 2000 (SP3), 2002 (SP3), 2003 (SP2 und SP3) und Outlook 2007.

Mit den beiden anderen Sicherheits-Bulletins MS08-016 und MS08-017 wollen die Redmonder jeweils zwei kritische Lecks in Office und Office Web Components schließen, die es Angreifern ebenfalls ermöglichen, die volle Kontrolle über die betroffenen Systeme zu erlangen. (kf)