Dachzeile

Microsoft stopft insgesamt 19 Sicherheitslecks

09.05.2007
Microsoft hat für den Monat Mai sieben allesamt kritische Security Bulletins veröffentlicht, die zusammen 19 Fehler in verschiedenen Produkten des Konzerns beheben.

Administratoren sollten dabei speziell die Bulletins MS07-026 und MS07-029 beachten, die Fehler in Exchange und dem DNS-Server (Domain Name System) von Windows betreffen. Die mit dem Exchange-Update beseitigten Sicherheitslücken waren zuvor noch nicht bekannt. "Die größten Auswirkungen auf Unternehmen wird das Exchange-Update haben", warnt Paul Zimski, Director of Product and Market Strategy bei PatchLink. "Es betrifft das Kerngeschäft."

Sollte es Hackern gelingen, entsprechenden Exploit-Code zu verfassen, dann könnten sie laut Zimski mit nur einer manipulierten E-Mail unerlaubte Software auf dem Messaging-Server installieren. Ein solcher Angriff wäre aus Sicht des Experten wohl nur extrem schwer zu blocken.

Bei dem DNS-Server Problem ist die Lage anders - hier ist die Schwachstelle seit rund einem Monat öffentlich, Exploit-Code existiert bereits. Deswegen hält Amol Sarwate, Manager des Vulnerability Lab von Qualys, diesen Patch für besonders wichtig. "Das ist diesen Monat das Problem Nummer eins", sagt Sarwate. "Eine Menge Leute haben sehnlichst auf diesen Patch gewartet."

Der DNS-Fehler betrifft Windows 2000 und Server 2003, auf denen Angreifer eigenen Code zur Ausführung bringen können, indem sie bösartig manipulierte RPC-Pakete (Remote Procedure Call) an den DNS-Server des Betriebssystems senden.

Weitere Mai-Updates beheben Schwachstellen in Word, Excel, Internet Explorer, Office und der CAPICOM-Kryptographietechnik im BizTalk Server. Die Lücken in Word und Excel wurden laut Mark Griese, Security Program Manager in Microsofts Security Response Center, bereits von Kriminellen für Online-Angriffe missbraucht. Auch Griesi empfiehlt Administratoren übrigens, sich die Updates für Exchange und den DNS-Server zuerst vorzunehmen.

Alle Patches stehen über die Microsoft/Windows-Update-Websites, Automatische Updates und WSUS (Windows Server Update Services) zur Verfügung. Macintosh-Besitzer können das Update für Office 2004 für den Mac von Mactopia herunterladen. (tc)