Patch-Day von Microsoft

Windows-Kernel abgedichtet - Excel bleibt offen

Alexander Freimark wechselte 2009 von der Redaktion der Computerwoche in die Freiberuflichkeit. Er schreibt für Medien und Unternehmen, sein Auftragsschwerpunkt liegt im Corporate Publishing. Dabei stehen technologische Innovationen im Fokus, aber auch der Wandel von Organisationen, Märkten und Menschen.
Dienstag war Patch-Day bei Microsoft. Drei Lücken wurden gestopft. Die unlängst bestätigte Excel-Schwachstelle ist nicht dabei.

Microsoft hat Dienstag, dem Patch-Day des Monats März, mehrere Lücken in Windows und speziell im Kernel des Betriebssystem geschlossen. Hinzu kam die Abdichtung einer Schwachstelle im Windows Domain Name System (DNS) und der SChannel Security Software. Der Hersteller bezeichnet die drei Kernel-Bugs als "kritisch", da ein Benutzer beispielsweise durch präparierte Bilddateien mit den Formaten EMF und WMF die Kontrolle über seinen Rechner verlieren kann. Das Update betrifft laut Microsoft die Versionen Windows 2000, Windows XP, Windows Server 2003, Windows Vista und Windows Server 2008. Es sollte daher bevorzugt eingespielt werden.

Schwerwiegend sind auch die Lücken im DNS-Server, da sie sich für Man-in-the-Middle-Angriffe und die Umleitung von Internet-Traffic (Spoofing) missbrauchen lassen. Eine ähnlich gelagerte DNS-Schwäche hatte bereits im vergangenen Sommer für Schlagzeilen gesorgt. Microsoft gibt dem Patch dieser Schwachstelle allerdings nur den Status "Hoch". Dies gilt ebenfalls für den Patch einer Lücke im SChannel-Sicherheitspaket (Secure Channel). Auch hier ist Spoofing möglich, wenn Angreifer die nötigen SSL-Zertifikate manipuliert haben.

Wie zu befürchten war, ging der unlängst bekannt gewordene Excel-Bug leer aus. Dieser soll angeblich bereits ausgenutzt werden. Wer noch einen anderen Patch installieren möchte, sollte dies für seinen Adobe Reader beziehungsweise den Adobe Acrobat tun. Diese Lücke gilt als sehr kritisch.