Patch-Tag bei Microsoft
Gestern hat der Redmonder Softwarekonzern im Rahmen der monatlichen Patch-Release-Strategie vier neue Sicherheits-Updates veröffentlicht.
14. April 2004
Wie jeden zweiten Dienstag im Monat veröffentlichte Microsoft auch gestern wieder die aktuellen Sicherheits-Updates. Drei der vier Flickwerke werden als kritisch eingestuft. Im schlimmsten Fall ermöglichen es die Lecks, dass ein Angreifer Programmcode auf dem attackierten Rechner ausführen und Files löschen oder ändern kann.
Das erste, im Security-Bulletin MS04-011 beschriebene Flickwerk behebt insgesamt 14 Schwachstellen, die Komponenten wie LDAP, den Logon-Dienst oder das Help Center betreffen. Meist handelt es sich um Speicherüberläufe, die von einem Angreifer für die Code-Ausführung genutzt werden können. Eine Installation wird dringend empfohlen.
Ebenfalls als kritisch eingestuft wird der Patch für die Remote-Procedure-Call-Komponente und DCOM. Auch hier sind alle Windows-Ausführungen von NT 4.0 bis zu Windows Server 2003 betroffen.
Der dritte kritische Patch betrifft Outlook Express in den Versionen 5.5 und 6.0 und verhindert, dass über MHTML-URLs Code ausgeführt werden kann. Das Update wird empfohlen, auch wenn Outlook Express nicht der Default-Mail-Client ist.
Schliesslich ist auch für die Jet-Datenbankengine ein Patch verfügbar. Obwohl auch dieses Leck die Code-Ausführung ermöglicht, stufen die Redmonder das Risiko hier lediglich als "hoch" ein, wohl deshalb, weil die Verbreitung der Jet-Engine nicht allzu hoch ist. (rd)
Das erste, im Security-Bulletin MS04-011 beschriebene Flickwerk behebt insgesamt 14 Schwachstellen, die Komponenten wie LDAP, den Logon-Dienst oder das Help Center betreffen. Meist handelt es sich um Speicherüberläufe, die von einem Angreifer für die Code-Ausführung genutzt werden können. Eine Installation wird dringend empfohlen.
Ebenfalls als kritisch eingestuft wird der Patch für die Remote-Procedure-Call-Komponente und DCOM. Auch hier sind alle Windows-Ausführungen von NT 4.0 bis zu Windows Server 2003 betroffen.
Der dritte kritische Patch betrifft Outlook Express in den Versionen 5.5 und 6.0 und verhindert, dass über MHTML-URLs Code ausgeführt werden kann. Das Update wird empfohlen, auch wenn Outlook Express nicht der Default-Mail-Client ist.
Schliesslich ist auch für die Jet-Datenbankengine ein Patch verfügbar. Obwohl auch dieses Leck die Code-Ausführung ermöglicht, stufen die Redmonder das Risiko hier lediglich als "hoch" ein, wohl deshalb, weil die Verbreitung der Jet-Engine nicht allzu hoch ist. (rd)
Artikel kommentieren
