computerwoche.de

Security

Microsoft kümmert sich jetzt auch um Sicherheitslecks in Drittsoftware

10.05.2006
Das monatliche Update adressiert neben Microsoft-Schwachstellen auch einen Fehler in Macromedias "Flash Player".

Wie bereits angekündigt umfasst Microsofts Update für den Monat Mai drei Sicherheitshinweise. Diese betreffen neben verschiedenen Windows-Versionen auch die Exchange-Plattform des Herstellers.

Ungewöhnlich in diesem Monat ist, dass eines der Bulletins eine Schwachstelle beschreibt, die nicht in einer Microsoft-Komponente, sondern einem Programm eines anderen Herstellers existiert. Unter der Bezeichnung MS06-020 warnt Microsoft vor einem Bug im Flash Player von Adobe, der im Lieferumfang diverser Windows-Versionen enthalten ist, so zum Beispiel Windows XP mit Service Pack 1 und 2, Windows 98, Windows 98 Second Edition (SE) und Windows Millennium Edition (ME). Die Schwachstelle erlaubt das Ausführen von beliebigem Code aus der Ferne und wird daher als kritisch eingestuft. Das Problem ist nicht ganz neu, Adobe warnte bereits vor einiger Zeit vor dem Problem und bietet auf seiner Homepage entsprechende Patches beziehungsweise neuere Versionen des Programms an, in denen der Fehler behoben ist.

Das zweite kritische Problem betrifft den Kalender von Microsoft Exchange, und zwar in den Versionen Server 2000 mit dem "Exchange 2000 Post-Service Pack 3 Update-Rollup" vom August 2004 sowie Server 2003 mit Service Pack 1 oder 2. Ein Angreifer könnte auf einem verwundbaren System Code zur Ausführung bringen und schließlich die vollständige Kontrolle übernehmen, warnt der Hersteller. Das würde es ihm ermöglichen, Programme zu installieren und Daten zu lesen, zu modifizieren oder zu löschen sowie neue Anwenderkonten zu erstellen. Betroffene Unternehmen sollten daher umgehend die entsprechenden Updates herunterladen und installieren.

Weniger gravierend ist verglichen damit die dritte Schwachstelle des aktuellen Security-Bulletins, die die Windows-Komponente Microsoft Distributed Transaction Coordinator (MSDTC) unter Windows 2000 (Service Pack 4), Windows XP (Service Pack 1 und 2) und Windows Server 2003 (auch für Itanium-Systeme) betrifft und für Denial-of-Service-Attacken ausgenutzt werden kann. Auch hierfür bietet Microsoft geeignete Updates zum Download.

Im Blog von Microsofts Security Response Center (MSRC) wird der Mai-Sicherheitshinweis als "ziemlich leicht" bezeichnet. Für die Erkennung und Beseitigung der angesprochenen Fehler werden keine größeren Probleme erwartet. (ave)