Sicherheitsupdate für IE und Visual Studio

Microsoft hat gesten Dienstag Abend zwei kritische Sicherheitsupdates für den Internet Explorer und für Visual Studio veröffentlicht. Den IE-Patch gemäss Security Bulletin MS09-034 sollten sämtliche Windows-Anwender raschestmöglich installieren, wenn das System nicht ohnehin für automatische Updates konfiguriert ist.

Nachem die Natur des Problems aus der Vorankündigung nicht hervorging, sind nun die Details bekannt. Die Schwachstelle ist bei Visual Studio und beim Internet Explorer auf die gleiche Komponente zurückzuführen: Der Fehler liegt in der Active Template Library (ATL), die bei der Entwicklung von ActiveX-Komponenten und –Controls zum Einsatz kommt.

Das Problem betrifft in der Folge alle ActiveX-Elemente, die mit Hilfe der fehlerhaften Library erstellt wurden. Dies trifft unter anderem auf die in Internet Explorer von Haus aus enthaltenen ActiveX-Komponenten und –Controls zu, aber auch auf Plug-ins von Drittherstellern wie Adobe und Cisco. Der Internet-Explorer-Patch korrigiert neben der ATL-Lücke auch drei weitere Schwachstellen, die nicht damit zusammenhängen.

Der Update für Visual Studio betrifft die Produktversionen .NET 2003, 2005 und 2008 sowie Visual C++ 2005 und 2008 Redistributable Package. Auch der Internet Explorer ist in allen gängigen Versionen von 5.01 bis 8 betroffen.