Bugs und Fixes: Ein seltener Notfall-Fix von Microsoft

Microsoft könnte sich im letzten Monat wie ein kleiner Holländer gefühlt haben, der Löcher mit regulären Patches und mit seltenen, außerplanmäßigen Fixes in sich steckte ein Versuch, Angreifer daran zu hindern, durchzulaufen.

Der außer Kontrolle geratene Patch, der für alle Versionen von Internet Explorer 2000, XP und Vista wichtig ist, behandelt die Handhabung fehlerhafter ActiveX-Steuerelemente, die mit der Microsoft Active Template Library erstellt wurden (ATL), ein Entwicklerwerkzeug, das in Visual Studio enthalten ist. Gefährdete PCs könnten von einem Drive-by-Download-Angriff betroffen sein. Diese schwerwiegende Sicherheitsanfälligkeit betrifft viele ActiveX-Steuerelemente. Zum Beispiel bestätigte Adobe auf seiner Sicherheitsseite, dass seine Shockwave und Flash Player ActiveX-Steuerelemente "anfällige Versionen von ATL nutzen", und dass es an einem Fix arbeitet. Das Problem betrifft auch IE unter Windows Server 2003 und 2008, wird aber auf diesen Betriebssystemen als mittelschwer eingestuft.

Zero-Day Fixes

Microsofts regulärer Patch Tuesday Release hat viele andere Lücken geschlossen, einschließlich eines Zero-Day-Fehlers wurde angegriffen und beteiligt ein ActiveX-Steuerelement von Microsoft Video verwendet. Obwohl der Patch das Steuerelement deaktiviert hat, das keinem legitimen Zweck diente, wurde der zugrunde liegende Fehler nicht korrigiert. Die für Windows XP wichtige und für Windows Server 2003 erforderliche Korrektur hat keine Auswirkungen auf Windows 2000, Vista oder Server 2008.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Ein zweiter Fix wurde beendet Angriffe auf die Verarbeitung von QuickTime-Inhalten durch Microsoft DirectShow. Die Angriffe, die nicht von Apples QuickTime abhängig waren, konnten ausgelöst werden, wenn ein Opfer eine vergiftete QuickTime-Datei öffnete oder eine Vorschau davon anzeigte. DirectX 7, 8.1 und 9.0 unter Windows 2000 benötigen das Update, ebenso DirectX 9.0 unter XP und Server 2003. Vista und Server 2008 erhalten einen Pass.

Weitere wichtige Fixes adressierten Löcher in der Art und Weise, wie alle unterstützten Windows-Versionen mit Fonts umgehen Webseiten, E-Mail und Office-Dokumente. Die Fehler in der Embedded OpenType-Schriftart-Engine wurden vor der Patch-Veröffentlichung nicht angegriffen, aber sie sind Tricks.

Ein schwerwiegender Fehler in Microsoft Office Web Components beinhaltet ein ActiveX-Problem, das Angriffe auf IE-Benutzer zulässt. Eine große Auswahl an Office-Komponenten und -Versionen benötigt das Update. Die vollständige Liste der betroffenen Software finden Sie auf der verknüpften Microsoft-Seite.

Sie können alle oben genannten Fixes über Windows Update greifen.

Adobe- und Firefox-Patches

Microsoft war nicht die Einzige, die unter einer Null gelitten hat -Tage Bedrohung im letzten Monat. Adobe, ein weiteres beliebtes Ziel, veröffentlichte Fehlerkorrekturen für Flash (auf allen Plattformen) sowie für Reader, Air und Acrobat, nachdem Berichte über Angriffe mit vergifteten PDF-Dateien Flash-Fehler ausnutzten. Um vor diesen häufigen Angriffen zu schützen, müssen Sie alle Ihre Adobe-Apps aktualisieren. Grab Flash-Version 10.0.32.18 und die neueste Air at Adobe-Website. Aktualisieren Sie für Reader auf Version 9.1.3, indem Sie das Programm öffnen und Extras, Nach Updates suchen auswählen. Weitere Informationen zu Links zu Acrobat-Updates für Mac und Windows finden Sie im Adobe Security Bulletin.

Um Ihre Must-Haves zu vervollständigen, sollten Firefox-Benutzer auf die neueste verfügbare Version aktualisieren, um mehrere Fixes für verschiedene Lücken in Version 3 und 3.5, einschließlich eines gravierenden Fehlers in der Handhabung von JavaScript in Version 3.5, sowie ein Problem, das die Verwendung von SSL-Zertifikaten durch Firefox 3 zur Verschlüsselung sicherer Webverbindungen betrifft (3.5 war bereits vor diesem Fehler geschützt). Klicken Sie auf Hilfe, Nach Updates suchen, um zu bestätigen, dass Sie über die neueste Version verfügen. Und wenn Sie noch auf Version 3 sind, besuchen Sie die Firefox-Website zum Herunterladen von 3.5; es ist ein relativ schmerzloses Upgrade.