MÜNCHEN (COMPUTERWOCHE) - Mit dem Security Bulletin Summary für den Monat Februar liefert Microsoft 13 Patches für zum größten Teil schwerwiegende Sicherheitslücken. Betroffen sind neben Windows, dem .NET-Framework und dem Internet Explorer (IE) die Büro-Suiten Office und Microsoft Works sowie Microsoft Project, Visio, der Windows Media Player und der Windows Messenger.

Kritische Sicherheitslücken

Security Bulletin MS05-005: Ein ungeprüfter Speicherbereich in Office ermöglicht es Angreifern, von entfernten Standorten beliebigen Code auszuführen. Betroffen sind die Versionen Office XP(SP2/SP3), Microsoft Project 2002, Visio 2002 sowie die Microsoft Works Suite (2002, 2003 und 2004).

Security Bulletin MS05-009: Der Windows Media Player 9 (unter Windows 2000, XP SP1 und Server 2003) sowie die Windows-Messenger-versionen 5.0, 6.1 und 6.2 weisen Schwachstellen bei der Verarbeitung des Bildformats "PNG" auf. Dadurch können Angreifer Schadroutinen von Remote-Standorten ausführen.

Security Bulletin MS05-010: Ebenfalls das Ausführen beliebigen Codes von entfernten Standorten aus ermöglicht ein Fehler im Lizenzprotokollierdienst von Windows NT Server 4.0 (SP6a, Terminal Edition SP 6), 2000 (SP3/SP4) und Server 2003.

Security Bulletin MS05-011: Schadroutinen einschleusen können Angreifer auch durch ein Leck im Server Message Block der Systeme Windows 2000 (SP3/SP4), XP (SP1/SP2), XP 64 Bit (SP1/Version 2003) und Server 2003.

Das Security Bulletin MS05-012 betrifft neben Windows die Anwendungen Outlook, Word, Excel, PowerPoint, FrontPage, Publisher und Access (Programmversionen 2002 und 2003), darüber hinaus auch die Komponenten InfoPath 2003 und OneNote 2003. Über eine Anfälligkeit des COM-Strukturspeichers können sich Angreifer Administratorenrechte verschaffen. Außerdem lassen sich über einen Fehler im OLE (Object Linking and Embedding) Schadroutinen von Remote-Standorten aus ausführen.

Security Bulletin MS05-013: Im ActiveX-Steuerelement der DHTML-Bearbeitungskomponente liegt eine Sicherheitsanfälligkeit vor, über die sich Hacker Zugriff auf beliebige Dateien verschaffen und im schlimmsten Fall beliebigen Code ausführen können. Betroffen sind Windows 2000 (SP3/SP4), XP (SP1/SP2), XP 64 Bit (SP1/Version 2003) und Server 2003.

Das Security Bulletin MS05-014 ersetzt ein Update, das Microsoft bereits im Oktober 2004 mit dem Bulletin MS04-038 ausgeliefert hat (Computerwoche.de berichtete). Es behebt mehrere Sicherheitslücken im Internet Explorer, unter anderem solche, die das Spoofen codierter URLs zulassen und über die sich Angreifer aufgrund von Drag-&-Drop-Vorgängen Administratorenrechte verschaffen können.

Security Bulletin MS05-015: Ein Leck in der Hyperlink-Objektbibliothek ermöglicht es Angreifern, von entfernten Standorten beliebigen Code auszuführen. Betroffen sind die Windows-Versionen 2000 (SP3/SP4), XP (SP1/SP2), XP 64 Bit (SP1/Version 2003), Server 2003 sowie 98, 98SE und ME.

Wichtige Sicherheitslücken

Security Bulletin MS05-004: ASP.NET weist eine Schwachstelle auf, über die sich beliebiger Code von entfernten Standorten aus ausführen lässt. Betroffen ist das Microsoft .NET-Framework (Versionen 1.0 und 1.1).

Security Bulletin MS05-007: Ein Fehler im Computerbrowserdienst von Windows 2000 (SP3/SP4), XP 64 Bit (Version 2003) und Server 2003 kann dazu führen, dass sich die Anmeldenamen von Benutzern, die eine offene Verbindung zu einer verfügbaren freigegebenen Ressource haben, von entfernten Standorten aus lesen lassen.

Security Bulletin MS05-008: Ein Leck in der Windows-Shell ermöglicht es Angreifern, siech Administratorenrechte zu verschaffen. Es lässt sich über manipulierte Websites oder HTML-Mails ausnutzen und steht in Zusammenhang mit der im Bulletin MS05-014 beschriebenen Schwachstelle. Betroffen sind die Windows-Versionen 2000 (SP3/SP4), XP (SP1/SP2), XP 64 Bit (SP1/Version 2003), Server 2003 sowie 98, 98SE und ME.

Security Bulletin MS05-006: Ein Leck in den Windows SharePoint Services und SharePoint Team Services ermöglicht standortübergreifende Scripting- und Spoofing-Angriffe. Dabei lassen sich Scripts, die Schadroutinen enthalten, im Sicherheitskontext des Benutzers ausführen. dadurch kann es Angreifern gelingen, auf beliebige Daten zuzugreifen.

Überarbeitetes Security Bulletin

Überarbeitet hat Microsoft das Security Bulletin MS04-035, das Microsoft im Oktober 2004 veröffentlicht hat (Computerwoche.de berichtete). Es beseitigt eine Sicherheitslücke in der SMTP-Komponente (Simple Mail Transfer Protocol) der Windows-Versionen 2000 (SP3/SP4), XP 64 Bit und Server 2003.

Microsoft empfiehlt dringend, alle Patches möglichst rasch einzuspielen. (lex)